LGPD e a nova fase do tratamento de dados no Brasil

LGPD e a nova fase do tratamento de dados no Brasil

Notícias

Em 14 de agosto de 2018, foi sancionada pelo ex- presidente do Brasil, Michel Temer, a nova Lei de Proteção de Dados Brasileira (LGPD) nº 13.709/2018, a qual trouxe uma nova face ao assunto, que até então era tratado nacionalmente de forma genérica através da Lei 12.965/2014, (Marco Civil na Internet).

Com o constante avanço da tecnologia, vive-se cada vez mais em um mundo com universos paralelos, como o da internet. Tarefas que há poucos anos demandavam tempo, esforços, gastos e até certo tempo para se concretizarem, atualmente estão sendo suprimidas por um simples e rápido clique. Assim, ante a magnitude que as relações digitais vem tomando no cotidiano da sociedade, nasce a necessidade de se criar mecanismos técnicos e jurídicos capazes de assegurar e tornar efetiva a proteção do maior bem na atualidade da “Era digital”: a informação.

A todo segundo milhares de dados estão sendo compartilhados, expostos, armazenados e tratados em operações on line ou off-line, nem sempre de maneira segura e para fins lícitos.

 Assim, um dos pilares basilares para a iniciativa do Brasil em adotar uma nova e específica legislação para tratamento de dados pessoais, surge a partir do crescimento tecnológico e das relações empresariais que estão cada vez mais correlacionadas às essas novas tecnologias.

Outro “pano de fundo” responsável pelo sancionamento da legislação no país, está relacionado ao Regulamento Geral Europeu sobre tratamento de dados, vez que o “GENERAL DATA PROTECTION REGULATION –GDPR”, direcionado aos países que compõe a Comissão Europeia, impõe a obrigatoriedade de países que mantenham relações comerciais com estes países, também tratarem os dados operacionalizados como o mesmo nível e padrão de segurança que os países europeus, primando por direitos fundamentais dos cidadãos, como o direito à liberdade, a privacidade e intimidade.

Assim, pontua-se os principais ensejadores da LGPD Brasileira:

  • Harmonização e atualização de conceitos, gerando maior segurança jurídica e desenvolvimento econômico para o país;
  • Atração de investimentos do exterior, diante do nível de proteção legal a ser mantido;
  • Fomento cultural em proteção de dados pessoais;
  • General Data Protection Regulation (GDPR), Regulamento de Proteção de dados da União Europeia;
  • O prazo para adequação às novas disposições trazidas pela lei, termina em agosto de 2020.

Princípios

A LGPD é uma legislação com alto nível técnico, ou seja, para interpretação e aplicabilidade da mesma, se faz necessário certo conhecimento acerca de termos e conceitos que são melhor “disseminados” por profissionais ou estudiosos da área da tecnologia, sendo inclusive essa restringibilidade, uma das principais críticas à nova normativa.

Cumpra também expor, que além da tutela a direitos fundamentais constitucionalmente garantidos os cidadãos brasileiros, como a liberdade de expressão, dignidade da pessoa humana, privacidade à intimidade, livre desenvolvimento da pessoa natural, direitos humanos, a inviolabilidade da intimidade, da honra e da imagem, a livre iniciativa, a livre concorrência e a defesa do consumidor, a LGPD traz um rol de princípios específicos imprescindíveis de serem observados na busca de efetivação dos fins da Lei, sendo eles:

  • FINALIDADE: o tratamento será realizada para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
  • ADEQUAÇÃO: deverá haver compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
  • NECESSIDADE: limitação do tratamento de dados ao mínimo necessário para a realização de suas finalidades;
  • LIVRE ACESSO: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
  • QUALIDADE DOS DADOS: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados;
  • TRANSPARÊNCIA: garantia, aos titulares, de obter informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento;
  • SEGURANÇA: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais;
  • PREVENÇÃO: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
  • NÃO DISCRIMINAÇÃO: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
  • RESPONSABILIZAÇÃO E PRESTAÇÃO DE CONTAS: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais.

Mas afinal, o que essa Lei realmente visa proteger e punir para que não haja ocorrência ou reincidência de violação a direitos?

O principal ponto da nova legislação brasileira, está no tratamento de dados pessoais. Assim, cumpre demonstrar o que a própria lei conceitua como sendo dados pessoais e tratamento de dados:

  • Dado pessoal (direto ou agregado): toda informação relacionada a pessoa natural identificada ou identificável;
  • Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural, capaz de gerar discriminação;
  • Tratamento de dados: toda operação realizada com dados pessoais (coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração).

São bases legais elencadas na LGPD para início de tratamento de dados:

  • O consentimento pelo titular;
  • Para cumprimento de obrigação legal ou regulatória pelo controlador;
  • Pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas;
  • Para realização de estudos por órgão de pesquisa;
  • Para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular;
  • Para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
  • Para a proteção da vida ou da incolumidade física do titular ou de terceiros;
  • Para a tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias;
  • Quando necessário para atender aos interesses legítimos do controlador ou de terceiros, consideradas a partir de situações concretas, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais;
  • Para a proteção do crédito.

Não são considerados dados pessoais para fins da LGPD:

  • Dados anonimizados;
  • Documentos confidenciais, segredos de negócios, fórmulas, algoritmos, direitos autorais ou propriedade industrial, que são protegidos por outras normas. Os dados pessoais que estejam dentro de tal tipo de conteúdo, estão contemplados.

Quem são os sujeitos que figuram nesse contexto de proteção de dados pessoais?

  • Quem são os indivíduos que estão envolvidos na proteção de dados pessoais?
  • Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.
  • Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
  • Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
  • Encarregado: pessoal natural indicada pelo controlador, que será o responsável dentro da empresa por (i) recepcionar e atender demandas dos titulares de dados; (ii) interagir com a Autoridade Nacional de Proteção de Dados e (iii) orientar funcionários e contratados quanto a práticas de proteção de dados.

Qual a aplicabilidade da LGPD?

TERRITÓRIO NACIONAL:

 A LGPD tem aplicação a qualquer pessoa, seja natural ou jurídica, de direito público ou privado que realize o tratamento de dados pessoais, online e/ou off-line;

EXTRATERRITORIAL:

Também se aplica à empresas que ofereçam serviços ao mercado consumidor brasileiro ou coletem e tratem dados de pessoas localizadas no país.

A LGPD NÃO SE APLICA AO TRATAMENTO DE DADOS:

  • Realizado por pessoa natural para fins exclusivamente particulares e não econômicos;
  • Jornalístico e artísticos;
  •  Acadêmicos;
  • Para fins exclusivos de segurança pública; defesa nacional; segurança do Estado; atividades de investigação e repressão de infrações penais; ou provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta Lei.

QUAIS SÃO OS DIREITOS TRAZIDOS AOS TITULARES DOS DADOS TUTELADOS PELA LGPD?

  • A confirmação da existência de tratamento;
  • O acesso aos dados;
  • Correção de dados incompletos, inexatos ou desatualizados;
  • Anonimização;
  • Portabilidade;
  • Eliminação ou exclusão;
  • Informação a respeito do compartilhamento de dados;
  • Possibilidade de receber informação sobre não fornecer o consentimento e suas consequências e;
  • Revogação do consentimento

SEGURANÇA DE DADOS PESSOAIS, GOVERNANÇA E BOAS PRÁTICAS

Segurança

 Principalmente as empresas, deverão adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito

Boas práticas e Governança:

A LGPD dispõe que as empresas poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.

O TÉRMINO DO TRATAMENTO DE DADOS PESSOAIS OCORRERÁ NAS SEGUINTES HIPÓTESES:

  • Quando os dados alcançarem ou deixarem de ser necessários ao alcance da finalidade específica almejada; 
  • Fim do período de tratamento;
  • Comunicação do titular - Direito de revogação do consentimento, resguardado o interesse público; ou
  • Determinação da autoridade nacional, em decorrência de violação ao disposto nesta Lei.

Os dados pessoais serão eliminados após o término de seu tratamento, autorizada a conservação para as seguintes finalidades:

  • Cumprimento de obrigação legal ou regulatória pelo controlador;
  • Estudo por órgão de pesquisa, garantida a anonimização dos dados pessoais;
  • Transferência a terceiro, desde que respeitados os requisitos de tratamento de dados em Lei ou;
  • Uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.

Quais são as sanções previstas na lei?

Dotadas de caráter não só punitivo, como também pedagógico, as sanções trazidas para os responsáveis que violarem os direitos e obrigações previstas na LDPG, merecem uma certa observância em especial, já que foram entabuladas em máximas altas, com o intuito de criar uma cultura de proteção de dados, consolidada na ética, respeito, observância e cumprimento da Lei de Proteção, sendo elas: 

Sanções administrativas: 

  • (I) advertência, com indicação de prazo para adoção de medidas corretivas; (II) multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 por infração; (III) multa diária, observado o limite total a que se refere o inciso II; (iv) publicialização a infração após devidamente apurada e confirmada a sua ocorrência; (V) bloqueio dos dados pessoais a que se refere a infração até a sua regularização; (VI) eliminação dos dados pessoais a que se refere a infração. 

Há também a responsabilização civil a ser aplicada a aquele que violar as disposições e os direitos tutelados pela LGPD. Assim, conforme legislação civil, havendo a ocorrência de dano ao titular dos dados, seja por ação ou omissão dos agentes de tratamento, restará a obrigação de indenizar de acordo com o quanto requerido e considerado pelos magistrados para reparação do prejuízo. 

Cumpre ressaltar, que os agentes de tratamento só não serão responsabilizados quando provarem: que não realizaram o tratamento de dados pessoais que lhes é atribuído; não houve violação à legislação de proteção de dados; ou que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro

Ainda, para aplicação da sanção a Autoridade Nacional observará o grau do dado proporcionado e as medidas, mecanismos e procedimentos internos adotados previamente pela empresa no tocante ao tratamento dos dados; 

Ante à todas as razões dispostas acima, as empresas que operacionalizam dados pessoais, deverão buscar mecanismos e apoio jurídico especializado, bem como deverão estruturar e delimitar através de projetos gerenciais, quais as práticas e medidas de segurança que serão adotas e que serão capazes de comprovar que efetivamente realizaram os tratamentos de dados nos termos exigidos pela LGPD. 

“A análise do tema foi realizada pelo escritório Laure, Volpon e Defina Advogados pela advogada Dra. Samanta Belbicho Ferreira”. 

Veja mais notícias sobre a Alta.