Baixe o app para aproveitar ainda mais
Prévia do material em texto
UNIVERSIDADE PAULISTA Curso de Direito JHONATHAN NASCIMENTO MIRANDA LEI GERAL DE PROTEÇÃO DE DADOS – LGPD Lei nº 13.709, de 14 de agosto de 2018. São Paulo 2020 2 JHONATHAN NASCIMENTO MIRANDA LEI GERAL DE PROTEÇÃO DE DADOS – LGPD Lei nº 13.709, de 14 de agosto de 2018. Trabalho de Conclusão de Curso apresentado como requisito parcial para obtenção do título de Bacharel em Direito, pelo Curso de Direito da Universidade Paulista. Orientadora: Professora Mestre Rebeca Alves. São Paulo 2020 3 “Aqueles que abririam mão da liberdade essencial para comprar um pouco de segurança temporária, não merecem nem liberdade, nem segurança.” Benjamin Franklin 4 AGRADECIMENTOS Inicialmente agradeço aos meus pais, Marcelo Rodrigues Miranda e Rosiléia de Fátima do Nascimento Miranda, que sempre me apoiaram em todas as decisões, e levo eternamente como maiores exemplos na minha vida. Agradeço também a minha noiva, Ana Paula Alves Mendes, por todo incentivo e encorajamento, e por ser minha luz quando eu mais precisei. Finalmente, agradeço a minha Professora Orientadora Rebeca Alves, que aceitou o desafio de me instruir na elaboração desse trabalho que tenho orgulho. 5 RESUMO O presente trabalho tem como intuito versar sobre os desdobramentos da última década que resultou na gênese da Lei Geral de Proteção de Dados – LGPD, explorar os direitos e fundamentos que essa nova lei propôs ao ordenamento jurídico, bem com a criação das figuras do titular de dados pessoais e dos agentes de tratamento, e ao final, discorrer brevemente a influência que o Código de Defesa do Consumidor exerceu sobre as normas da LGPD, e também os impactos que a nova lei terá nos direitos do consumidor. Palavras chave: Lei Geral de Proteção de Dados; Direito do Consumidor; Dados Pessoais; Internet; Legislação; e Cambridge Analytica. 6 ABSTRACT The present work aims to discuss the developments of the last decade that resulted in the genesis of the General Data Protection Law - LGPD, explore the rights and fundamentals that this new law proposed to the legal system, as well as the creation of the figures of personal data holder and treatment agents, and at the end, briefly discuss the influence that the Consumer Protection Code had on LGPD rules, and also the impacts that the new law will have on consumer rights. Keywords: General Data Protection Law; Consumer Law; Personal data; Internet; Legislation; and Cambridge Analytica. 7 SUMÁRIO 1. INTRODUÇÃO ...................................................................................................................... 9 2. ORIGEM ................................................................................................................................. 10 2.1 MARCO CIVIL DA INTERNET ...................................................................................... 10 2.2 REGULAMENTO GERAL SOBRE A PROTEÇÃO DE DADOS ................................. 11 2.3 CASO CAMBRIDGE ANALYTICA .................................................................................. 11 3. DA LEI GERAL DE PROTEÇÃO DE DADOS ................................................................ 13 3.1 DOS FUNDAMENTOS E PRINCÍPIOS .......................................................................... 13 3.2 DOS DADOS ...................................................................................................................... 15 3.3 DA ABRANGÊNCIA ........................................................................................................ 16 4. DOS AGENTES DE TRATAMENTO DE DADOS PESSOAIS ................................... 18 5. DO TRATAMENTO DOS DADOS .................................................................................. 19 5.1 DO CONSENTIMENTO ................................................................................................... 20 5.2 DOS DADOS MANIFESTAMENTE PÚBLICOS .......................................................... 21 5.3 DO TRATAMENTO DE DADOS SENSÍVEIS ............................................................... 21 5.4 DO TRATAMENTO DE DADOS PESSOAIS DE CRIANÇAS E ADOLECENTES . 23 5.5 DO TERMINO DO TRATAMENTO DE DADOS ......................................................... 23 6. DO TRATAMENTO DE DADOS PESSOAIS PELO PODER PÚBLICO .................. 25 7. DA TRANSFERENCIA ITNERNACIONAL DE DADOS ............................................ 27 8. DOS DIREITOS DOS TÍTULARES .................................................................................. 29 8 8.1 DA CONFIRMAÇÃO DA EXISTÊNCIA DE TRATAMENTO ................................... 30 8.2 DA ANONIMIZAÇÃO, BLOQUEIO OU ELIMINAÇÃO ........................................... 31 8.3 DA INFORMAÇÃO SOBRE A POSSIBILIDADE DE NÃO CONCESSÃO DO CONSENTIMENTO ................................................................................................................ 32 8.4 DA REVOGAÇÃO DO CONSENTIMENTO ................................................................ 32 9. DAS BOAS PRÁTICAS E DA GOVERNANÇA ............................................................. 33 10. DA RESPONSABILIDADE ............................................................................................... 35 10.1 DO RESSARCIMENTO DE DANOS ............................................................................ 36 11. DAS SANÇÕES ADMINISTRATIVAS ......................................................................... 37 12. DA AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS............................... 39 12.1 DA COMPOSIÇÃO E COMPETENCIAS ..................................................................... 39 13. LGPD E OS DIREITOS DO CONSUMIDOR ............................................................... 45 14. CONCLUSÃO ...................................................................................................................... 48 15. REFERÊNCIAS .................................................................................................................... 49 9 1. INTRODUÇÃO No mundo globalizado, estamos vivenciando o início de temáticas que desafiam cada vez mais a ordenação jurídica, trazendo à luz preocupações que jamais foram imaginadas, e um enorme desafio de andar passo a passo junto a uma sociedade que evolui em velocidade exponencial. Informação é, por definição, o resultado de organização, manipulação e processamento de dados, cujo objetivo é o aprimoramento no conhecimento de quem a recebe. A habilidade de receber e aprender com uma nova informação foi o que auxiliou a evolução humana, e não seria de forma diferente nos tempos atuais. Com o notório caso da Cambridge Analytica, ficou evidente a magnitude das informações e dados pessoais na contemporaneidade, e em vista disso, tornou-se indispensável a estruturação da Lei Geral de Proteção de Dados – LGPD para escudar as informações pessoais que por ventura venhamos a compartilhar no uso da internet. Tal Lei surge, em um momento de grande necessidade, para balizar e defender os interesses dos usuários de plataformas digitais, que continuamente obtém informações pessoais, ainda que com a devida permissão dos usuários, mas utilizam para fins que colidem com o interesse social. O presente estudo tem como objetivo apresentar um panorama da atual situação da LGPD e da utilização dos dados pessoais por empresas, e apontar as repercussões que a Lei trará ao direito dos consumidores. 10 2. ORIGEM A Lei Geral de Proteção de Dados – LGPD foi aprovada em julho de 2018 no plenário do Senado Federal, e sancionada em agosto de 2018 pelo então presidente da república Michel Temer, seguindo a onda global de proteção de dados pessoais. No entanto,a LGPD é o resultado de diversos debates que tramitavam paralelamente sobre a privacidade tornar-se um direito fundamental, sujeito à proteção pelo estado jurisdicional, e que conta com outros regulamentos similares internacionais como o Regulamento Geral sobre a Proteção de Dados – GDPR da União Europeia e o California Consumer Privacy Act – CCPA dos Estados Unidos da América. Aqui no Brasil temos o Marco Civil da Internet como parâmetro para LGPD. 2.1 MARCO CIVIL DA INTERNET A Lei n° 12.965/2014, comumente chamada de Marco Civil da Internet – MCI, regulamenta o uso da internet no Brasil e trouxe de forma concisa ao ordenamento jurídico os princípios como a neutralidade de redes, privacidade e regras para proteção de dados, tal como originou a temática de privacidade de dados no sistema jurídico. Enquanto projeto lei surgiu ainda em 2009 como alternativa do governo diante da resistência social ao Projeto de Lei de Cibercrimes, conhecido como Lei Azeredo, que recebeu duras críticas, sendo visto por muitos como uma ditadura virtual. O Marco Civil da Internet foi então desenvolvido colaborativamente em debate aberto na internet, com intuito de torna- la mais democrática, e foi aprovado e sancionado em 2014, elencando os direitos e garantias dos usuários, definindo o acesso à internet como essencial ao exercício da cidadania, e assegurando a inviolabilidade da intimidade e da vida privada na internet. Apesar de vanguardista, a falta de parâmetros fez com que a lei fosse branda ao tratar da proteção de dados dos usuários na internet, direcionando suas disposições primordialmente a provedores de conexão de internet e fornecedores de aplicações em rede. A LGPD, em seu texto, apresenta breves alterações no texto da lei do Marco Civil da Internet, com fim de alinhar os direitos já previstos com as novas disposições. 11 2.2 REGULAMENTO GERAL SOBRE A PROTEÇÃO DE DADOS A União Europeia disciplina a proteção de dados pessoais desde 1995, com a Diretoria 95/45/EC, que veio a ser revogado pelo General Data Protection Regulation – GDPR, traduzido como “Regulamento Geral sobre a Proteção de Dados”, em 2018, e que trata sobre a privacidade e defesa das informações pessoais, com objetivo de dar aos cidadãos e residentes europeus o direito ao esquecimento perante os buscadores. É evidente que a LGPD foi inspirada no regulamento europeu, visto que, apesar do GDPR tratar da defesa dos dados de seus cidadãos, isso forçou grandes empresas a se adaptarem ao novo regulamento, e abriu precedentes e discussões em torno do tema, inspirando outros países como o Brasil a se interessarem por legislação semelhante, causando um forte impacto mundialmente. 2.3 CASO CAMBRIDGE ANALYTICA Outro ponto importante para a criação da LGPD foi o escândalo causado pela empresa inglesa Cambridge Analytica, que em 2014 coletou as informações pessoais de usuários da plataforma digital Facebook de forma indevida e utilizou para fins diversos, como a assessoria da campanha do político americano Ted Cruz em 2015, assessoria da campanha presidencial americana de Donald Trump em 2016, bem como apoio ao Brexit, referendo sobre a permanência do Reino Unido na União Europeia em 2016. Os dados eram obtidos pela Cambridge Analytica através do aplicativo thisisyourdigitallife, onde centenas de milhares de usuários se dispuseram a participar de uma pesquisa de cunho acadêmico. Porém, o ponto alto do processo foi a constatação de que a plataforma Facebook permitiu que o aplicativo coletasse não só os dados das pessoas que concordaram em participar, mas também as informações de todos os demais terceiros que tinham alguma conexão com os participantes da pesquisa, permitindo assim o acesso à dados de milhões de usuários que não tinham sequer consciência do fato. Com os dados, a Cambridge Analytica pôde mapear os traços de personalidade e o perfil de voto de um terço dos cidadãos americanos que tinha conta ativa na plataforma, e assim direcionar conteúdo midiático personalizado com intuito de manipular a tomada de decisão na eleição. 12 O Facebook sofreu com severas multas decorrentes do uso irregular dos dados pessoais de seus usuários, sendo escrutinado por diversos órgãos nos Estados Unidos da América, Europa e até mesmo no Brasil, cominando na revisão das práticas negociais da plataforma. Como podemos notar no gráfico abaixo, houve um severo aumento na relevância do tema de proteção de dados, sendo proporcional à inclusão da tecnologia da informação na sociedade no decorrer das últimas cinco décadas: Figura 01 – Evolução da importância da proteção de dados 1 Fonte: IAPP.ORG (2014) 1 Disponível em: (https://iapp.org/news/a/the-dragon-in-the-dark/). Acessado em outubro de 2020. 13 3. DA LEI GERAL DE PROTEÇÃO DE DADOS A Lei nº 13.709, de 14 de agosto de 2018, denominada Lei Geral de Proteção de Dados – LGPD dispõe em seu texto sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. Com esse caput, percebemos nascer um novo tipo de garantia que até então não havia sido amplamente assegurada, o direito de defesa que o usuário possui sobre os seus próprios dados pessoais quando utilizar de plataformas digitais, sejam elas disponibilizadas por empresas privadas ou públicas. O disposto na LGPD aplica-se para qualquer operação de tratamento de dados realizada por pessoa natural ou jurídica, independente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que o tratamento ou a coleta dos dados seja realizado em território nacional. 3.1 DOS FUNDAMENTOS E PRINCÍPIOS Como pilares, a LGPD adotou forma semelhante ao regulamento europeu, apesar de possuir uma configuração mais concisa, sendo aplicado em qualquer operação de tratamento de dados realizado por pessoa natural ou jurídica, independente do meio, conforme os fundamentos dispostos no Art. 2: “I - o respeito à privacidade; II - a autodeterminação informativa; III - a liberdade de expressão, de informação, de comunicação e de opinião; IV - a inviolabilidade da intimidade, da honra e da imagem; V - o desenvolvimento econômico e tecnológico e a inovação; 14 VI - a livre iniciativa, a livre concorrência e a defesa do consumidor; e VII - os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.” (LGPD, BRASIL, 2018) Os princípios a serem observados quanto ao tratamento de dados pessoais estão elencados no Art. 6º, definidos como: I - Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades; II - Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento; III - Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados; IV - Livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais; V - Qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento; VI - Transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial; 15VII - Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão; VIII - Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais; IX - Não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos; X - Responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas. 3.2 DOS DADOS Como definição, a LGPD doutrina dados pessoais como informação relacionada a pessoa natural identificada ou identificável, abrangendo o conceito como qualquer informação que possa identificar um indivíduo ainda quando indiretamente. Portanto, não podemos considerar como dados pessoais apenas informações usuais tais quais nomes, prenomes, endereços e números de cadastros de pessoas físicas, mas inclusos também informações de endereço de IP – Internet Protocol, que identificam a maquina ou aparelho vinculado à pessoa natural, características físicas, entre outras. O Regulamento Geral sobre a Proteção de Dados – GDPR define que uma pessoa natural é identificável quando “possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrônica ou a um ou mais elementos específicos da identidade física, fisiológica, genérica, mental, econômica, cultural ou social dessa pessoa singular”. Dentro da categoria de dados pessoais, em seu Art. 5º, II, a LGPD estipulou dados sensíveis como informações de “origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico”. Por serem dados que geram riscos significativos para os 16 direitos e liberdades fundamentais, e relativos ao contexto de sua utilização, passaram a ser submetidos a um regime especial para tratamento. Ademais, a norma define também dados anonimizados como “dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento”. Ainda seguindo a definição da norma, a anonimização é a “utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo”. Ainda assim, a LGPD prevê em seu Art. 13 o conceito de pseudonimização dos dados na realização de estudos em saúde pública, onde os órgãos de pesquisas podem ter acesso a bases de dados pessoais com intuito exclusivo de estudos e pesquisas em ambientes controlados e seguros, cuja divulgação de resultados não poderá, em hipótese alguma, revelar informações do titular. 3.3 DA ABRANGÊNCIA Conforme estabelecido no Art. 3º, a LGPD “aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados”, e, portanto, análogo ao GRPD, a lei não se aplica apenas a brasileiros, mas todos aqueles que estão em solo nacional. Não obstante, ato contínuo à abrangência, a Lei apresenta suas exceções, no Art. 4º: Art. 4º Esta Lei não se aplica ao tratamento de dados pessoais: I - realizado por pessoa natural para fins exclusivamente particulares e não econômicos; II - realizado para fins exclusivamente: va) jornalístico e artísticos; ou b) acadêmicos, aplicando-se a esta hipótese os arts. 7º e 11 desta Lei; 17 III - realizado para fins exclusivos de: a) segurança pública; b) defesa nacional; c) segurança do Estado; ou d) atividades de investigação e repressão de infrações penais; ou IV - provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta Lei. O tratamento dos dados previstos no supracitado inciso III deverá ser regido por legislação específica, sendo observado o interesse público, o devido processo legal, os princípios gerais da LGPD, sendo vedado o tratamento por pessoa de direito privado, salvo em procedimentos tutelados por pessoa jurídica de direito público. As exceções deixam de ser aplicáveis em caso de mudança da finalidade original. 18 4. DOS AGENTE DE TRATAMENTO DE DADOS PESSOAIS Os dados serão manipulados pelos agentes de tratamento, sendo eles o controlador e o operado, que deverão manter registro das operações de tratamento de dados pessoais que realizarem especialmente quando baseado no legítimo interesse, que veremos mais para frente. O operador, sendo pessoa natural ou jurídica, de direito público ou privado, deverá realizar o tratamento segundo as informações fornecidas pelo controlador, que verificará a observância das próprias instruções e das normas. Por sua vez, o controlador, pessoa natural ou jurídica, de direito público ou privado, a quem compete as decisões referente ao tratamento de dados, deverá indicar encarregado pelo tratamento de dados pessoais, que ficara responsável por: I - Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; II - Receber comunicações da autoridade nacional e adotar providências; III - Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e IV - Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares. 19 5. DO TRATAMENTO DOS DADOS A LGPD apresenta o rol de 10 hipóteses permissivas para tratamento de dados pessoais em seu Art. 7º: I - Mediante o fornecimento de consentimento pelo titular; II - Para o cumprimento de obrigação legal ou regulatória pelo controlador; III - Pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei; IV - Para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais; V - Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados; VI - Para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem); VII - Para a proteção da vida ou da incolumidade física do titular ou de terceiros; VIII - Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; 20 Se observarmos os itens IX e X do supracitado artigo, veremos que são exceções trazidas pela LGPD: IX - Quando necessário para atender aos interesses legítimos do controlador ou de terceiros, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou O conceito de “interesse legitimo” apresentado serve como autorização para determinadas situações nas quais o consentimento do usuário não precisa ser emitido, pois deacordo com a Lei, o tratamento deve contemplas sua legitimas expectativas. Por exemplo, podemos imaginar essa aplicabilidade para coibição de fraude, onde a instituição bancária poderia utilizar os dados bancários do cliente, como seu perfil de gastos, sem o devido consentimento expresso do titular, afim de impedir o delito. Para tanto, é ônus do responsável demonstrar que está utilizando da hipótese de legítimo interesse de modo adequado e ponderado entre seus interesses e os direitos do titular. X - Para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente. A última hipótese trata da coleta automática de informações com a finalidade de proteção de crédito, para o cadastro positivo, onde empresas privadas disponibilizam informações dos consumidores aos fornecedores de crédito. 5.1 DO CONSENTIMENTO O consentimento do titular dos dados deverá ser fornecido por escrito, constando de cláusula destacada, ou por outro meio que demonstre a manifestação de vontade do titular, referindo-se as finalidades determinadas, cabendo ao controlador o ônus da prova de que o consentimento foi obtido em conformidade com a disposição legal. As autorizações genéricas para o tratamento de dados, bem como hipóteses onde as informações fornecidas ao titular tenham conteúdo enganoso ou abusivo ou não tenham sido 21 apresentadas previamente com transparência, de forma clara e inequívoca serão consideradas nulas, sendo explicitamente vedado o tratamento mediante vício de consentimento. Havendo mudanças da finalidade para o tratamento de dados não compatíveis com o consentimento original, o controlador fica obrigado a informar previamente o titular sobre alterações de finalidade, podendo o titular revogar o consentimento, caso discorde das alterações. 5.2 DOS DADOS MANIFESTAMENTE PÚBLICOS Também apresentado como exceção, é dispensado a exigência do consentimento para os dados tornados manifestamente públicos, sendo resguardado os direitos do titular e os princípios da LGPD. Podemos entender como dados manifestamente públicos como escrituras de imóveis, sociedade de empresa, ou dados acerca das atividades de órgãos públicos. Entretanto, a eventual dispensa da exigência do consentimento não desonera os agentes de tratamento das demais obrigações previstas na Lei, devendo levar em consideração a finalidade, boa-fé e o interesse público que justificam a sua disponibilização. 5.3 DO TRATAMENTO DE DADOS SENSÍVEIS Conforme previamente elucidado, os dados pessoais sensíveis possuem disposições mais rígidas, sendo permitido o tratamento na hipótese do titular ou seu responsável legal consentir, de forma específica e destacada para finalidades específicas. Apesar disso, a LGPD apresenta também as exceções onde é permitido o tratamento de dados sensíveis sem o consentimento, conforme Art. 11, II: a) cumprimento de obrigação legal ou regulatória pelo controlador; 22 b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos; c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis; d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem); e) proteção da vida ou da incolumidade física do titular ou de terceiros; f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais. O compartilhamento de dados pessoais sensíveis referentes à saúde só pode ocorrer quando da prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde, incluídos os serviços auxiliares de diagnose e terapia, em benefício dos interesses do titular, e para permitir a portabilidade de dados quando solicitado pelo próprio titular, bem como nas transações financeiras e administrativas resultantes do uso e da prestação de serviços de saúde. 23 5.4 DO TRATAMENTO DE DADOS PESSOAIS DE CRIANÇAS E DE ADOLECENTES Os conceitos para tratamento de dados pessoais de crianças e adolescentes seguem os mesmos preceitos abordados nos casos anteriores, apresentando algumas peculiaridades quando ao consentimento, que devera ser dado por pelo menos um dos pais ou pelo responsável legal. Ainda, as informações dos dados deverão ser fornecidas de forma simples, clara e acessível, considerando as características físicas e intelectuais do usuário, com uso de recurso audiovisual quando adequado, e de forma a proporcionar a informação necessária não somente aos pais ou responsável legal, mas também de forma adequada ao entendimento da criança. Fica vedado o condicionamento do fornecimento de dados de crianças e adolescentes titulares para utilização de jogos, aplicações de internet ou de outras atividades. 5.5 DO TERMINO DO TRATAMENTO DE DADOS São as hipóteses de termino do tratamento de dados pessoais, segundo art. 15: I - Verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada; II - Fim do período de tratamento; III - Comunicação do titular, inclusive no exercício de seu direito de revogação do consentimento conforme disposto no § 5º do art. 8º desta Lei, resguardado o interesse público; ou IV - Determinação da autoridade nacional, quando houver violação ao disposto nesta Lei. 24 Os dados deverão ser eliminados após o termino de tratamento, no âmbito e nos limites técnicos das atividades, sendo sua conservação autorizada somente para as seguintes finalidades elencadas no Art. 16: I - Cumprimento de obrigação legal ou regulatória pelo controlador; II - Estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais; III - Transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei; ou IV - Uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados. 25 6. DO TRATAMENTO DE DADOS PESSOAIS PELO PODER PÚBLICO Por se tratar de forma especial de tratamento de dados, merece destaque para abordagem, visto que apresenta regras diferentes, como veremos. As pessoas jurídicas de direito público da qual este capítulo aborda, estão elencados no parágrafo único do Art. 1º da Lei de Acesso à Informação – Lei nº 12.527, de 18 de novembro de 2011, conforme segue: I - Os órgãos públicos integrantes da administração direta dos Poderes Executivo, Legislativo, incluindo as Cortes de Contas, e Judiciário e do Ministério Público; II - As autarquias, as fundações públicas, as empresas públicas, as sociedades de economia mista e demais entidades controladas direta ou indiretamente pela União, Estados, Distrito Federal e Municípios. Ademais, terão o mesmo tratamento dispensados aos órgão e entidades do poder público as empresas públicas e as sociedades de economia mista, quando estiverem operacionalizando políticas públicas e no âmbito da execução delas. O Art. 23 da LGPD elucida que o tratamento de dados pessoais pelo poder público deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público, então atrelados às condições de que: I - Sejam informadasas hipóteses em que, no exercício de suas competências, realizam o tratamento de dados pessoais, fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, em 26 veículos de fácil acesso, preferencialmente em seus sítios eletrônicos; II - (VETADO); e III - seja indicado um encarregado quando realizarem operações de tratamento de dados pessoais. O uso compartilhado de dados pessoais pelo poder público deve atender a finalidade específicas de execução de políticas públicas, respeitando os princípios de proteção elencados pela LGPD. Via de regra, é vedado ao poder público transferir os dados pessoais que possuem acesso a entidades privadas, sendo exceção: I - em casos de execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado, observado o disposto na Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação) ; II - (VETADO); III - nos casos em que os dados forem acessíveis publicamente, observadas as disposições desta Lei. IV - quando houver previsão legal ou a transferência for respaldada em contratos, convênios ou instrumentos congêneres; ou V - na hipótese de a transferência dos dados objetivar exclusivamente a prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados, desde que vedado o tratamento para outras finalidades. 27 7. DA TRANSFERÊNCIA INTERNACIONAL DE DADOS Vimos anteriormente que a GDPR teve grande importância na gênese da LPGD, sendo também o catalisador da criação de legislações em diversos países dado seu impacto mundial após apresentar uma série de regras para que as transferências internacionais possam ser consideradas adequadas. É de se imaginar que não seria diferente com a LGPD, que em seu Art. 33 apresenta as 9 condições onde é permitido a transferência internacional de dados pessoais, sendo elas: I - Para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto nesta Lei; II - Quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos nesta Lei, na forma de: a) cláusulas contratuais específicas para determinada transferência; b) cláusulas-padrão contratuais; c) normas corporativas globais; d) selos, certificados e códigos de conduta regularmente emitidos; III - quando a transferência for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de direito internacional; 28 IV - Quando a transferência for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiros; V - Quando a autoridade nacional autorizar a transferência; VI - Quando a transferência resultar em compromisso assumido em acordo de cooperação internacional; VII - quando a transferência for necessária para a execução de política pública ou atribuição legal do serviço público, sendo dada publicidade nos termos do inciso I do caput do art. 23 desta Lei; VIII - quando o titular tiver fornecido o seu consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação, distinguindo claramente esta de outras finalidades; ou IX - Quando necessário para atender as hipóteses previstas nos incisos II, V e VI do art. 7º desta Lei. A definição do conteúdo de cláusulas-padrão contratuais, bem como a verificação de cláusulas contratuais específicas para uma determinada transferência será realizada pela autoridade nacional, sendo considerados os requisitos, as condições e as garantias mínimas para a transferência que observem os direitos, as garantias e os princípios da presente Lei. 29 8. DOS DIREITOS DOS TÍTULARES O Capítulo III, DOS DIREITOS DO TITULAR, inicia-se assegurando a toda pessoa natural a titularidade de seus dados pessoais e garantindo os direitos fundamentais de liberdade, intimidade e privacidade, sendo estritamente vedado o uso das informações em seu prejuízo. E para tanto, subsequentemente no Art. 18, apresenta o rol de direitos dos titulares: I - Confirmação da existência de tratamento; II - Acesso aos dados; III - correção de dados incompletos, inexatos ou desatualizados; IV - Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei; V - Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial; VI - Eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei; VII - Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados; VIII - Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa; IX - Revogação do consentimento, nos termos do § 5º do art. 8º desta Lei. 30 Ademais, fica garantido o direito do titular de peticionar em relação aos seus dados contra o controlador perante autoridade nacional, bem como perante organismos de defesa do consumidor. A defesa dos interesses e direitos dos titulares poderá ainda ser exercida em juízo individual ou coletivamente. 8.1 DA CONFIRMAÇÃO DA EXISTÊNCIA DE TRATAMENTO Mediante requisição do titular, a confirmação de existência de tratamento ou acesso de dados deverão ser providenciados sempre em formato simplificado ou por meio de declaração clara e completa, devendo ser fornecido no prazo de 15 dias contados do requerimento do titular. Referida declaração devera indicar a origem dos dados, os critérios e finalidades do tratamento, sendo observado os segredos comerciais e industriais, bem como informar a inexistência de registros. Os dados pessoais devem ser armazenados em formado que favoreça o acesso, bem como serão fornecidas, a critério do titular, de forma impressa ou por meio eletrônico, seguro e idôneo para esse fim, que incluem, mas não se limitam, as informações listadas no Art. 9º, para atendimento do princípio do livre acesso, conforme segue: I - Finalidade específica do tratamento; II - Forma e duração do tratamento, observados os segredos comercial e industrial; III - Identificação do controlador; IV - Informações de contato do controlador; V - Informações acerca do uso compartilhado de dados pelo controlador e a finalidade; VI - Responsabilidades dos agentes que realizarão o tratamento; e VII - Direitos do titular, com menção explícita aos direitos contidos no art. 18 desta Lei. 31 Ainda, o titular poderá solicitar a revisão das decisões tomadas através do tratamento automatizado de seus dados pessoais e que afetem seus interesses, incluído, mas não somente, as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade. O controlador deverá fornecer, sempre que solicitado, informações claras e adequadas a respeito dos critérios e procedimentos utilizados para a decisão automatizada, e em casos onde a disponibilização não seja possível por conta da observância de segredo comercial e industrial, a autoridade nacional poderá realizar auditoria para verificação de aspectos discriminatórios no tratamento automatizado. 8.2 DA ANONIMIZAÇÃO, BLOQUEIO OU ELIMINAÇÃO Cuida de garantia espelhada no “direito ao esquecimento”, reconhecido pela Corte Europeia em 2014 e garantida no GDPR, que dá aos titulares de dados a faculdade de exclusão de link de informações“irrelevantes” ou “desatualizadas”. Conforme corte da União Europeia, aplica-se as informações “inadequadas, não pertinentes ou já não pertinentes ou excessivas em relação ao objetivo pelo qual foram processadas tendo em conta o tempo decorrido". Na LGPD, apesar do ser direito do usuário solicitar anonimização, bloqueio ou eliminação de seus dados quando forem desnecessários, excessivos ou tratados em desconformidade, o controlador tem a liberalidade de definir qual o melhor processo técnico para cada situação. O controlador responsável deverá informar aos agentes de tratamento com os quais compartilhou os dados, da anonimização, bloqueio ou eliminação de dados, para que realizem o mesmo procedimento, salvo nos casos onde esta comunicação seja comprovadamente impossível ou implique em esforço desproporcional. Os dados anonimizados não serão considerados dados pessoais, salvo quando o processo de anonimização que foram submetidos puder ser revertido por meios próprios ou com esforço razoável. A determinação do que seja razoável leva em consideração custo e tempo necessários para reverter a anonimização, de acordo com as tecnologias disponíveis 32 8.3 DA INFORMAÇÃO SOBRE A POSSIBILIDADE DE NÃO CONCESSÃO DO CONSENTIMENTO Serve como proteção contra controladores que possam exigir dados excessivos e que não sejam necessários para determinada finalidade. Assim, caso seja exigido do titular o consentimento de uso de seus dados pessoais para dispor de determinada aplicação, fica vedado a obtenção de dados que não sejam primordiais para aquela finalidade. Caso a ausência do consentimento implique em limitações no uso, o titular deve ser informado, sendo que a limitação total de uso de determinada aplicação só pode ocorrer se o dado for imprescindível. 8.4 DA REVOGAÇÃO DO CONSENTIMENTO A qualquer momento o titular poderá revogar o consentimento previamente concedido de uso de seus dados, mediante manifestação expressa, por procedimento gratuito e facilitado. Tal disposição não afeta os tratamentos de dados realizados anteriormente à revogação, salvo casos onde seja requerido a eliminação das informações. 33 9. DAS BOAS PRÁTICAS E DA GOVERNANÇA Define a LGPD que os agentes de tratamento poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, normas de segurança, padrões técnicos, mecanismos internos de supervisão e mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais, levando em consideração a natureza, escopo, finalidade e gravidade dos riscos, estando facultado ao controlador implementar programa de governança em privacidade, que no mínimo: a) demonstre o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais; b) seja aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo como se realizou sua coleta; c) seja adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados; d) estabeleça políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade; e) tenha o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular; f) esteja integrado a sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos; g) conte com planos de resposta a incidentes e remediação; e 34 h) seja atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas; 35 10. DA RESPONSABILIDADE Os agentes de tratamento devem adotar medidas de segurança que possam proteger os dados pessoais do acesso não autorizado e de situações acidentais ou ilícitas. Nesse ponto, a ANPD poderá dispor sobre padrões técnicos mínimos para dirimir casos de vazamentos de dados. No caso de ocorrer incidente de segurança que possa acarretar risco ou dano relevante aos titulares, deverá o controlador comunicar à ANPD, em prazo razoável, mencionando no mínimo: I - A descrição da natureza dos dados pessoais afetados; II - As informações sobre os titulares envolvidos; III - A indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial; IV - Os riscos relacionados ao incidente; V - Os motivos da demora, no caso de a comunicação não ter sido imediata; e VI - As medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo. No juízo de gravidade do incidente, será levado em consideração a comprovação de que foram adotadas as medidas técnicas adequadas para tornar os dados pessoais afetados ininteligíveis, observado os limites técnicos de seus serviços. 36 10.1 DO RESSARCIMENTO DE DANOS O controlador ou operador que, em razão do tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação a legislação de proteção de dados pessoais, fica obrigado a repará-lo. O operador responderá solidariamente quando descumprir obrigações da legislação ou quando não seguir as instruções lícitas do controlador. Da mesma forma, os controladores que estiverem diretamente envolvidos no tratamento do qual decorreram danos ao titular responderão solidariamente. As exceções onde os agentes não serão responsáveis cabem quando provarem: I - Que não realizaram o tratamento de dados pessoais que lhes é atribuído; II - Que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou III - Que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiros. 37 11. DAS SANÇÕES ADMINISTRATIVAS Além da responsabilização civil pelo tratamento ilícito dos dados pessoais, os agentes de tratamento podem sofrer imposição de sanções administrativas, aplicáveis pela autoridade nacional, em razão de infrações cometidas às normas da LGPD, sendo elas: I - Advertência, com indicação de prazo para adoção de medidas corretivas; II - Multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração; III - Multa diária, observado o limite total a que se refere o inciso II; IV - Publicização da infração após devidamente apurada e confirmada a sua ocorrência; V - Bloqueio dos dados pessoais a que se refere a infração até a sua regularização; VI - Eliminação dos dados pessoais a que se refere a infração; VII - (VETADO); VIII - (VETADO); IX - (VETADO). X - Suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador; 38 XI - Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período; XII - Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados. No entanto, insta salientar que, de acordo com o Art. 65, I-A, os artigos que dispõem sobre as sanções administrativas, sendo elas Art. 52, 53 e 54, entrarão em vigor apenas em 1º de agosto de 2021. 39 12. DA AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS Originalmente prevista no texto da LGPD, foi vetada pelo ex-presidente Michel Temer sob alegação de vício de origem, visto que o órgão faria parte do Poder Legislativo,que não poder dispor sobre a organização do Estado, vez que isso é prerrogativa do Executivo. Retorna, então, através da Lei nº 13.853, sancionada em 2019 pelo presidente Jair Bolsonaro, que altera a LGPD para dispor sobre a proteção de dados pessoais e para criar a Autoridade Nacional de Proteção de Dados como órgão da administração pública federal, integrante da Presidência da República. A criação de autoridade nacional de controle adequa a LGPD sob o aspecto da legislação europeia, capacitando o país para transacionamento de dados pessoais com países integrantes da União Europeia. 12.1 DA COMPOSIÇÃO E COMPETÊNCIAS A Autoridade Nacional de Proteção de Dados é composta de: I - Conselho Diretor, órgão máximo de direção, sendo composto por 5 diretores, incluído o Diretor-Presidente, escolhidos e nomeados pelo Presidente da República, após aprovação pelo Senado Federal, dentre brasileiros que tenham reputação ilibada, nível superior de educação e elevado conceito no campo de especialidade dos cargos nomeados, para exercer mandato de 4 anos. Os membros somente perderão seus cargos em virtude de renúncia, condenação judicial transitada em julgado ou pena de demissão decorrente de processo administrativo disciplinar. As competências da Diretoria são: 1 - Zelar pela proteção dos dados pessoais, nos termos da legislação; 2 - Zelar pela observância dos segredos comercial e industrial, observada a proteção de dados pessoais e do sigilo das informações quando protegido por lei ou quando 40 a quebra do sigilo violar os fundamentos do art. 2º desta Lei; 3 - Elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade; 4 - Fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso; 5 - Apreciar petições de titular contra controlador após comprovada pelo titular a apresentação de reclamação ao controlador não solucionada no prazo estabelecido em regulamentação; 6 - Promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança; 7 - Promover e elaborar estudos sobre as práticas nacionais e internacionais de proteção de dados pessoais e privacidade; 8 - Estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle dos titulares sobre seus dados pessoais, os quais deverão levar em consideração as especificidades das atividades e o porte dos responsáveis; 9 - Promover ações de cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transnacional; 10 - Dispor sobre as formas de publicidade das operações de tratamento de dados pessoais, respeitados os segredos comercial e industrial; 41 11 - Solicitar, a qualquer momento, às entidades do poder público que realizem operações de tratamento de dados pessoais informe específico sobre o âmbito, a natureza dos dados e os demais detalhes do tratamento realizado, com a possibilidade de emitir parecer técnico complementar para garantir o cumprimento desta Lei; 12 - Elaborar relatórios de gestão anuais acerca de suas atividades; 13 - Editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais previstos nesta Lei; 14 - Ouvir os agentes de tratamento e a sociedade em matérias de interesse relevante e prestar contas sobre suas atividades e planejamento; 15 - Arrecadar e aplicar suas receitas e publicar, no relatório de gestão a que se refere o inciso XII do caput deste artigo, o detalhamento de suas receitas e despesas; 16 - Realizar auditorias, ou determinar sua realização, no âmbito da atividade de fiscalização de que trata o inciso IV e com a devida observância do disposto no inciso II do caput deste artigo, sobre o tratamento de dados pessoais efetuado pelos agentes de tratamento, incluído o poder público; 17 - Celebrar, a qualquer momento, compromisso com agentes de tratamento para eliminar irregularidade, incerteza jurídica ou situação contenciosa no âmbito de 42 processos administrativos, de acordo com o previsto no Decreto-Lei nº 4.657, de 4 de setembro de 1942; 18 - Editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, possam adequar-se a esta Lei; 19 - Garantir que o tratamento de dados de idosos seja efetuado de maneira simples, clara, acessível e adequada ao seu entendimento, nos termos desta Lei e da Lei nº 10.741, de 1º de outubro de 2003 (Estatuto do Idoso); 20 - Deliberar, na esfera administrativa, em caráter terminativo, sobre a interpretação desta Lei, as suas competências e os casos omissos; 21 - Comunicar às autoridades competentes as infrações penais das quais tiver conhecimento; 22 - Comunicar aos órgãos de controle interno o descumprimento do disposto nesta Lei por órgãos e entidades da administração pública federal; 23 - Articular-se com as autoridades reguladoras públicas para exercer suas competências em setores específicos de atividades econômicas e governamentais sujeitas à regulação; e 24 - Implementar mecanismos simplificados, inclusive por meio eletrônico, para o registro de reclamações sobre o tratamento de dados pessoais em desconformidade com esta Lei. 43 II - Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, que por sua vez será composto de 23 representantes, titulares e suplentes, sendo: (i) 5 do Poder Executivo Federal; (ii) 1 do Senado Federal; (iii) 1 da Câmara dos Deputados; (iv) 1 do Conselho Nacional de Justiça; (v) 1 do Conselho Nacional do Ministério Público; (vi) 1 do Comitê Gestor da Internet no Brasil; (vii) 3 de entidades da sociedade civil com atuação relacionada a proteção de dados pessoais; (viii) 3 de instituições científicas, tecnológicas e de inovação; (ix) 3 de confederações sindicais representativas das categorias econômicas do setor produtivo; (x) 2 de entidades representativas do setor empresarial relacionado à área de tratamento de dados pessoais; e (xi) 2 de entidades representativas do setor laboral. Os representantes serão designados por ato do Presidente da República e sua participação no Conselho será considerada prestação de serviço público relevante, não remunerada. As competências do Conselho são: 1 - Propor diretrizes estratégicas e fornecer subsídios para a elaboração da Política Nacional de Proteção de Dados Pessoais e da Privacidade e para a atuação da ANPD; 2 - Elaborar relatórios anuais de avaliação da execução das ações da Política Nacional de Proteção de Dados Pessoais e da Privacidade; 3 - Sugerir ações a serem realizadas pela ANPD; 4 - Elaborar estudos e realizar debates e audiências públicas sobre a proteção de dados pessoais e da privacidade; e 5 - Disseminar o conhecimento sobre a proteção de dados pessoais e da privacidade à população. III – Corregedoria; IV – Ouvidoria; V - Órgão de assessoramento jurídico próprio; e 44 VI - Unidades administrativas e unidades especializadas necessárias à aplicação do disposto nesta Lei. 45 13. LGPD E O DIREITO DO CONSUMIDOR Após entendermos o que a LGPD se dispôs a tratar, conseguimos ter uma visão mais concreta dos reflexos trazidos pelo Código de Defesa do Consumidor – CDC – Lei nº 8.078, de 11 de setembro de 1990, como fonte de direito. Preliminarmente, é notório o paraleloentre as classificações de “titular” e “agente de tratamento”, presentes na LGPD, com o “consumidor” e “fornecedor” existente no CDC, ainda mais reforçada pelo fundamento elencado no Art. 2º, VI, da LGPD: Art. 2º A disciplina da proteção de dados pessoais tem como fundamentos: [...]VI - A livre iniciativa, a livre concorrência e a defesa do consumidor; Não obstante, temos como direito básico do consumidor, previsto no CDC em seu Art. 6, III, a informação adequada e clara sobre os serviços, que na LGPD aparece no Art. 2º, II, tratando da autodeterminação informativa, de modo a assegurar ao consumidor o direito a ser informado sobre os procedimentos que serão adotados no tratamento de seus dados, compreendendo a autorização, conhecimento, retificação, boa-fé, interrupção e exclusão. Bem como, vemos que o Art. 43, §§ 1º, 2º e 3º, CDC, já dispunham, respectivamente, da disponibilização das informações dos consumidores, da comunicação de manipulação de dados e da alteração de dados que estejam incorretos, conforme seguem: CDC, Art. 43. O consumidor, sem prejuízo do disposto no art. 86, terá acesso às informações existentes em cadastros, fichas, registros e dados pessoais e de consumo arquivados sobre ele, bem como sobre as suas respectivas fontes. § 1° Os cadastros e dados de consumidores devem ser objetivos, claros, verdadeiros e em linguagem de fácil compreensão, não podendo conter informações negativas referentes a período superior a cinco anos. 46 § 2° A abertura de cadastro, ficha, registro e dados pessoais e de consumo deverá ser comunicada por escrito ao consumidor, quando não solicitada por ele. § 3° O consumidor, sempre que encontrar inexatidão nos seus dados e cadastros, poderá exigir sua imediata correção, devendo o arquivista, no prazo de cinco dias úteis, comunicar a alteração aos eventuais destinatários das informações incorretas. Os Arts. 12, 14 e 25, §1º, do CDC, determinam que todas as pessoas envolvidas na cadeia da prestação de serviço de tratamento de dados podem ser responsabilizados, de forma objetiva e solidária, pelos incidentes ocorridos e danos causados aos consumidores titulares de dados, de forma semelhante ao que observamos na LGPD no Art. 42: LGPD, Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo. Temos também que observar a proibição de condutas enganosas, abusivas os desproporcionais e de venda casada, constantes nos Art. 37, §§ 1º e 2º, e Art, I, do CDC, que podem ser aplicadas às atividades de coleta e tratamento de dados pessoais na relação de consumo, onde há a comunicação, informação e publicidade falsa ou abusiva, como meio de obtenção de informações dos consumidores, ou condicionamento da entrega do consentimento do titular para o fornecimento de produto ou serviço. Quanto ao direito de peticionar, a LGPD garante ao titular, no Art. 18, § 1º, o direito de reclamar em relação aos seus dados contra o controlador perante a autoridade nacional, assim como o §8º do presente artigo apresenta que tal garantia também poderá ser exercida junto aos organismos de defesa do consumidor, sendo fato que a ampla capilaridade dos Procon espalhados nacionalmente daria ao titular maior garantia na defesa de seus interesses. Portanto, temos que o CDC contém, de forma abrandada, os primeiros fundamentos, direitos e normas acerca da regulação de tratamento e formação de banco de dados, e com a 47 LGPD entrando em vigor, fica claro que a proteção dos dados nas relações de consumo será exercida com a combinação das normas legais presente nos dois regulamentos. 48 14. CONCLUSÃO Como pudemos observar no presente trabalho, a Lei Geral de Proteção de Dados trouxe ao cenário nacional uma extensa mudança em como o ordenamento jurídico aborda a proteção e tratamento dos dados pessoais dos titulares, atribuindo maiores responsabilidades aos agentes de tratamento. Isso deu-se, em grande parte, por conta da evolução do valor que os dados pessoais adquiriram para as empresas ao longo dos anos e com o avanço exponencial da tecnologia, bem como a utilização dessas informações para fins adversos ao bem comum. Apesar de relativamente nova e de possuir uma base jurídica pré-existente em nosso sistema legal, a LGPD é um marco importante para a evolução judiciaria, trazendo luz a questões relevantes aos direitos dos brasileiros, assim como o Código de Defesa do Consumidor foi em sua época. No geral, a LGPD colocou o Brasil no mesmo patamar de outros grandes países que já tratavam da defesa de dados, e abriu portas para negociações com diversas entidades internacionais. 49 15. REFERÊNCIAS BRASIL. Lei nº 13.709, de 14 de agosto de 2018. LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS (LGPD). Diário Oficial da União: seção 1, Brasília, DF, ano 2018, n. 157, p. 59, 15 ago. 2018. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2015- 2018/2018/lei/l13709.htm. Acesso em: 28 out. 2020. BRASIL. Lei nº 8.078, de 11 de setembro de 1990. DISPÕE SOBRE A PROTEÇÃO DO CONSUMIDOR E DÁ OUTRAS PROVIDÊNCIAS. Diário Oficial da União: seção 1, Brasília, DF, ano 1990, p. 1, 12 set. 1990. Disponível em: https://www.planalto.gov.br/ccivil_03/leis/l8078.htm. Acesso em: 28 out. 2020. BRASIL. Lei nº 12.965, de 23 de abril de 2014. ESTABELECE PRINCÍPIOS, GARANTIAS, DIREITOS E DEVERES PARA O USO DA INTERNET NO BRASIL. Diário Oficial da União: seção 1, Brasília, DF, p. 1, 11 nov. 2020. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm. Acesso em: 28 out. 2020. CADWALLADR, Carole; GRAHAM-HARRISON, Emma. REVEALED: 50 MILLION FACEBOOK PROFILES HARVESTED FOR CAMBRIDGE ANALYTICA IN MAJOR DATA BREACH: Whistleblower describes how firm linked to former Trump adviser Steve Bannon compiled user data to target American voters. The Guardian, [S. l.], ano 2018, 17 mar. 2018. Disponível em: https://www.theguardian.com/news/2018/mar/17/cambridge-analytica- facebook-influence-us-election. Acesso em: 28 out. 2020. MELILLO CARDOSO, Loni. LGPD: INSPIRAÇÃO, VIGÊNCIA E O DESAFIO DA EFICIÊNCIA DA NOVA LEI. CONJUR, [S. l.], 6 out. 2020. Disponível em: https://www.conjur.com.br/2020-out-06/loni-cardoso-inspiracao-vigencia-desafio- eficiencia-lgpd. Acesso em: 28 out. 2020. 50 REDAÇÃO, O Estado de São Paulo. CAMPANHA DE TRUMP OBTEVE DADOS PRIVADOS DE 50 MILHÕES DE USUÁRIOS DE FACEBOOK, SEGUNDO JORNAIS: Com informações dos internautas, empresa de análise de dados Cambridge Analytica criou sistema para influenciar escolhas nas urnas, dizem jornais 'The New York Times' e 'The Observer', de Londres. Estadão, [S. l.], p. 1, 11 mar. 2018. Disponível em: https://internacional.estadao.com.br/noticias/geral,campanha-de-trump-obteve-dados- privados-de-50-milhoes-de-usuarios-do-facebook-segundo-jornais,70002231678. Acesso em: 28 out. 2020. CABELLA, Daniela Monte-Serrat. BRASIL PRECISA DE AUTORIDADE DE DADOS PARA SE MANTER PRÓXIMO DO MERCADO EUROPEU: Requisito fundamental que Comissão Europeia vai analisar em uma ANPD é a prática de independência na sua organização. Jota, [S. l.], p. 1, 20 ago. 2018. Disponível em: https://www.jota.info/paywall?redirect_to=//www.jota.info/opiniao-e- analise/artigos/brasil-precisa-de-autoridade-de-dados-para-se-manter-proximo-do- mercado-europeu-20082018. Acesso em: 28 out. 2020. CARDOSO, Oscar Valente. LEI GERAL DE PROTEÇÃO DE DADOS E DIÁLOGO DAS FONTES: Código de Defesa do Consumidor. Jus, [s. l.], 1 ago. 2020. Disponível em: https://jus.com.br/artigos/84448/lei-geral-de-protecao-de-dados-e-dialogo-das-fontes-2- codigo-de-defesa-do-consumidor. Acesso em: 28 out. 2020.
Compartilhar