Texto por Maria Carolina Mendonça de Barros
Convergindo com a tendência mundial, notadamente o regulamento europeu designado General Data Protection Regulation – GDPR, o Brasil, recentemente, deu um importante passo em direção à normatização da proteção dos dados pessoais, com a sanção do ex-Presidente Michel Temer da Lei Geral de Proteção de Dados Pessoais (“LGPD”), ocorrida em agosto de 2018. Em dezembro do mesmo ano, o ex-Presidente editou a MP 869/18 que, entre outros assuntos, criou a Autoridade Nacional de Proteção de Dados (“ANPD”), algo que havia prometido fazer antes do término do seu mandato, tendo em vista seu veto ao capítulo da LGPD que dispunha sobre a ANPD, por questões formais.
A LGPD dispõe sobre o tratamento e uso de dados pessoais, coletados por quaisquer meios, seja por pessoa física ou jurídica de direito público ou privado, buscando resguardar os direitos fundamentais de liberdade e privacidade, enfatizando a questão da transparência quanto ao uso dos dados pessoais, tendo instituído a necessidade de obtenção de consentimento do seu titular para qualquer tipo de tratamento, ressalvados alguns casos específicos previstos em lei. A definição de tratamento de dados (inciso X do artigo 5º) é bastante ampla, abarcando qualquer operação realizada com os dados pessoais que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração de dados.
De modo expresso, em seu rol de incisos, o artigo 6º da norma estabelece que os agentes de dados (controlador e operador) devem observar, além do princípio da boa-fé, os princípios da (i) finalidade – os dados só podem ser coletados, tratados e utilizados para uma finalidade específica; (ii) adequação – os dados devem ser utilizados em conformidade com a finalidade para a qual foram coletados; (iii) necessidade – só devem ser coletados os dados necessários para a finalidade estabelecida; (iv) livre acesso – o titular dos dados deve ter acesso a todas as informações acerca da forma e duração do tratamento dos dados; (v) qualidade dos dados – garantia de que os dados serão mantidos exatos, claros e atualizados e de acordo com o que for necessário para cumprir a finalidade de seu tratamento; (vi) transparência – o titular dos dados deve ter todas as informações sobre como, para que e por quem seus dados são coletados e tratados; (vii) segurança e prevenção – devem ser adotadas todas as medidas necessárias para que não haja vazamento ou acesso não autorizado aos dados pessoais, sendo o agente responsável por qualquer uso indevido ou vazamento; (viii) não discriminação – os dados não podem ser utilizados para fins discriminatórios, abusivos ou ilícitos; e, (ix) responsabilização e prestação de contas – o agente deve comprovar a tomada das medidas eficazes para o cumprimento da norma de proteção de dados pessoais.
A LGPD muda o eixo de poder em favor do titular de dados pessoais, dando a estes direitos específicos que permitem o controle da utilização de seus dados, em respeito ao princípio da autodeterminação informativa. Em um mundo cada vez mais automatizado e sem fronteiras, no qual as informações são divulgadas e reproduzidas em tempo real, a lei é um importante sinal de que, inobstante nossa realidade virtual, ainda somos indivíduos com direito a ter sua privacidade efetivamente respeitada, na medida escolhida por cada titular.
E o que a LGPD muda para as empresas, quando entrar em vigor no próximo agosto de 2020? Todas as pessoas jurídicas deverão, em suas operações de tratamento de dados pessoais, observar todos os princípios e direitos acima brevemente descritos, sob pena de arcar com as penalidades legais, com multa simples ou diária que pode chegar até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil (em seu último exercício), excluídos os tributos, limitada, no total, a R$ 50 milhões por infração.
Nesse sentido, é fundamental que as empresas se informem que mudanças terão que realizar em sua estrutura e práticas para estarem aptas a cumprir as exigências legais. Para tanto, é importante realizar um autodiagnostico, por meio de auditorias internas, para conhecer a organização, seus fluxos de informação, ferramentas e tecnologias existentes, definir uma estratégia e uma política interna com base na integração das áreas relevantes (TI/jurídico/compliance) e, assim, criar um conjunto normativo de procedimentos e instrumentos internos que vinculem a empresa e seus colaboradores em matéria de proteção de dados e privacidade (cláusulas contratuais padrão, políticas de privacidade, códigos de conduta, etc…).
Cada empresa deve ter ciência do volume de operações de processamento que realizam, que tipo de dados são por ela coletados e tratados (se sensíveis ou não), qual a finalidade de cada tratamento, como é normalmente realizada a coleta de dados, seu armazenamento, se existe o hábito de ser solicitado o consentimento de cada pessoa individual para uma operação de processamento, entre outras análises. Respondidas essas perguntas, é fundamental a realização de uma análise de risco, já que as medidas de segurança que serão implementadas deverão ser compatíveis com o risco a que a empresa está exposta – quanto maior o volume de operações e quanto mais sensíveis forem os dados em seu poder, maior deverá ser o investimento em tecnologias e sistemas de proteção.
A criação da ANPD (ainda que possa ser lamentada sua vinculação com o Poder Executivo, que retirou a almejada independência do órgão, fator importante para que o Brasil possa ser reconhecido pela UE como país adequado para transferência internacional de dados) trouxe a convicção de que a LGPD terá efetividade prática, pois será ela a responsável, entre outras coisas, por fiscalizar as condutas, analisar violações legais, solicitar esclarecimentos e relatórios de impactos, editar normas (inclusive complementares) e definir procedimentos e, em última instância, e sempre após respeitado o devido processo legal, impor sanções administrativas ou pecuniárias.
Há muito trabalho a ser feito e a hora de começar é agora, pois a LGPD traz uma nova cultura no tema por ela tratado, o que demanda um estudo prévio de seu conteúdo e exigências por parte dos brasileiros que, ao contrário dos europeus, não possuem experiência prévia relevante no assunto. Vale lembrar que a primeira legislação da EU sobre dados pessoais data de 1995, sendo o GDPR fruto de um processo importante de aprendizado teórico e prático, o que ainda teremos que realizar.