O ano de 2020 vai inaugurar uma nova etapa para empresas e órgãos públicos, que deverão se adequar à nova lei de tratamento e proteção de dados pessoais, que pretende garantir maior liberdade e privacidade aos cidadãos brasileiros.
Entra em vigor, a partir de agosto do próximo ano, a lei 13.709, que foi sancionada em 2018, com o objetivo de proteger os direitos fundamentais de liberdade e privacidade ao regulamentar o uso, proteção e transferência de dados pessoais no Brasil.
A lei 13.709, Lei Geral de Proteção de Dados (LGPD) altera alguns artigos do marco civil da Internet e se fundamenta em diversos valores, como o respeito à privacidade; à liberdade de expressão; à inviolabilidade da intimidade; ao desenvolvimento econômico e tecnológico; à livre iniciativa e aos direitos humanos.
O texto dispõe sobre o tratamento dos dados, inclusive nos meios digitais, por pessoa natural ou jurídica, de direito público ou privado, estabelecendo como empresas e órgãos públicos devem coletar e proteger as informações obtidas.
Maior proteção
Publicada em 15 de Agosto de 2018, a lei 13.709 determina que os dados pessoais só poderão ser coletados mediante o consentimento do usuário, o que, sem dúvida nenhuma, representa um grande avanço.
A ideia é proteger o cidadão do uso abusivo e indiscriminado dos seus dados, solicitando seu consentimento, além de atender suas demandas quanto ao manuseio e eliminação dessas informações. Estas, por sua vez, só poderão ser coletadas caso sejam necessárias, permitindo o questionamento por parte do usuário, outro passo importante em face à maior segurança.
Conforme descreve a lei, o tratamento dos dados é uma operação abrangente e compreende diversas etapas como: 1) coleta; 2) produção; 3) recepção; 4) classificação; 5) utilização; 6) acesso; 7) reprodução; 8) transmissão; 9) distribuição; 10) processamento; 11) arquivamento; 12) armazenamento; 13) eliminação; 14) avaliação ou controle; 15) modificação; 16) comunicação; 17) transferência; 18) difusão ou extração.
Essa operação é complexa e deverá ser aplicada por empresas e órgãos públicos, exceto nas informações com fins particulares e não econômicos, jornalísticas, artísticas, acadêmicas ou as que envolvem segurança pública, defesa nacional, proteção da vida e políticas governamentais.
Também merecem maior proteção e uso restritivo no que a lei classificou como dados sensíveis, ou seja, outra categoria que reúne informações como crenças religiosas, posicionamentos políticos, características físicas, condições de saúde e vida sexual. E, finalmente, foram estabelecidas exigências especiais para o tratamento de dados pessoais de crianças e adolescentes.
Autoridade Nacional de Proteção de Dados
A fiscalização será feita pela Autoridade Nacional de Proteção de Dados (ANPD), agência federal criada neste mês de julho, responsável por zelar pela proteção dos dados pessoais e aplicar sanções. A agência está ligada diretamente ao presidente da República, onde ficará por um período de dois anos, após o qual será feito um estudo para verificar a possibilidade de transformá-la em agência reguladora autônoma e independente.
A lei prevê, ainda, a criação do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, composto por 23 representantes de diferentes setores. O objetivo é propor diretrizes estratégicas e fornecer subsídios para elaboração de uma política nacional nessa área. O conselho deverá elaborar estudos e realizar debates e audiências públicas, disseminando o conhecimento sobre a proteção de dados pessoais e a privacidade.
Novos personagens
Para viabilizar essa tarefa e permitir que se cumpram os objetivos da lei 13.709, foram definidos os agentes que desempenham um importante papel nessa atividade. Um deles é o titular, pessoa a quem se referem os dados a serem tratados e que precisa dar seu consentimento, por escrito ou por outro meio, manifestando sua vontade.
Titular
O titular tem livre acesso às informações, que deverão ser disponibilizadas de forma clara, adequada e ostensiva. Ele pode solicitar a correção dos dados, bloqueio ou eliminação e a portabilidade para outro fornecedor de serviço ou produto. A lei prevê, ainda, para o titular a possibilidade de revisar decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as que definem seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade. Os dados pessoais referentes ao exercício regular de direitos pelo titular não podem ser utilizados em seu prejuízo. E a defesa dos interesses e dos direitos dos titulares poderá ser exercida em juízo, individual ou coletivamente, de acordo com o disposto na lei sobre os instrumentos de tutela individual e coletiva.
Controlador, operador, encarregado
O controlador e o operador são – segundo a lei – os agentes responsáveis por realizar o tratamento. Cabe ao controlador decidir sobre as questões referentes a essa atividade e comunicar à autoridade nacional e ao titular a ocorrência de incidentes de segurança, que possam acarretar riscos ou danos relevantes aos titulares. Já, o operador é a pessoa que realiza o tratamento em nome do controlador. E, por último, existe o encarregado, que é indicado pelos agentes para atuar como canal de comunicação entre o controlador, os titulares e a ANPD.
Vale destacar que o controlador e o operador desempenham um papel fundamental para o sucesso da operação de tratamento de dados. Eles poderão formular regras de boas práticas e de governança, individualmente ou por meio de associações, que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.
Por outro lado, eles são obrigados a reparar os danos causados no exercício da atividade ao violarem a legislação de proteção de dados pessoais ou, ainda, quando não adotarem as medidas de segurança previstas no artigo 46 dessa lei.
Os agentes de tratamento tem a obrigação de garantir a segurança das informações mesmo após o término dessa atividade. No caso de ocorrência de incidentes, o controlador deve comunicar à autoridade nacional e ao titular.
A lei estabelece ainda, algumas condições para o tratamento de obrigação legal ou regulatória pelo controlador; no uso compartilhado de dados pela administração pública; na realização de estudos por órgãos de pesquisa; na execução de contratos; exercício regular de direitos; proteção da vida; tutela de saúde; garantia de prevenção à fraude e à segurança de titular; e proteção do crédito.
A autoridade nacional, por sua vez, estimulará a adoção de padrões técnicos que facilitem o controle pelos titulares dos seus dados pessoais, também pode aplicar sanções administrativas para os agentes no caso de infrações, que incluem advertências, multas simples, multas diárias, bloqueio dos dados, entre outros.
Uma exigência importante imposta pela lei é que o registro das operações realizadas seja mantido. Isso é fundamental em caso de violação à privacidade do titular. A autoridade nacional pode determinar ao controlador a elaboração de relatório de impacto à proteção de dados pessoais e poderá dispor sobre padrões de interoperabilidade, para fins de portabilidade, livre acesso e segurança, bem como sobre o tempo de guarda dos registros de acordo com a necessidade e transparência.
Transferência internacional de dados
O tratamento independe do meio, do país de sua sede ou do país onde estejam localizadas as informações, visando, entre outras disposições, a oferta de bens ou serviços ou, ainda, o tratamento de dados de indivíduos localizados no território nacional.
A transferência internacional desses dados obedece algumas regras e a principal exigência é que seja feita para países ou organismos que proporcionem grau de proteção adequado ao previsto nesta Lei. A lei permite, ainda, que esse fato ocorra por cooperação jurídica, acordos e tratados internacionais, proteção da vida, entre outros fatores.
Com essa legislação, o Brasil passou a fazer parte do grupo de países que contam com leis específicas nessa área. Mundialmente, existem regulamentos similares como o General Data Protection Regulation, na União Europeia, obrigatório desde maio de 2018, o California Consumer Privacy Act of 2018 (CCPA), nos Estados Unidos, implementado em âmbito estadual e a Lei 25.326 de Proteccion de Los Datos Personales, na Argentina.
Término do tratamento de dados
O término do tratamento de dados pessoais ocorrerá nas seguintes hipóteses: verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada; fim do período de tratamento; comunicação do titular, inclusive no exercício de seu direito de revogação do consentimento conforme disposto no § 5º do art. 8º desta Lei, resguardado o interesse público; determinação da autoridade nacional, quando houver violação ao disposto nesta Lei.
Autorizada a conservação para as seguintes finalidades: cumprimento de obrigação legal ou regulatória pelo controlador; estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais; transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei; ou uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.
O mercado terá apenas um ano para se adaptar às exigências desta nova Lei, inclusive com aplicação de pesadas multas ao seu descumprimento.
Aprofundando no tema, a fiscalização é realizada à todo momento, pela criação da Autoridade Nacional de Proteção de Dados e suas sanções, preconizadas no artigo 52 da citada lei, com multas que podem chegar ao patamar de 50 milhões de reais.
A ausência de procedimentos céleres é provida pelo artigo 19 e seus parágrafos 3º e 4º do Marco Civil da Internet, que autorizam juízes de Juizado Especial, no sentido do “ interesse da coletividade e da garantia de direitos civis”, a decidirem em liminar, a retirada de conteúdo de site.
A LGPD estabelece direitos fundamentais do cidadão, tais como privacidade, direito à informação, comunicação e opinião, defesa do consumidor, fiscalização. É abrangente nos seus aspectos jurídicos e técnicos, elevando a segurança cibernética e incluindo o Brasil no grupo de países que possuem a norma referente ao assunto, garantindo padrões de interoperabilidade.
Concluindo, a nova lei representa um acréscimo importante ao Marco Civil da Internet (MCI), ao introduzir a possibilidade da pessoa física e jurídica buscar a prestação jurisdicional quando suas informações forem vazadas, traz maior segurança e inovação, contribuindo para maior proteção e privacidade do cidadão e exige que corporações e órgãos governamentais tomem precauções na coleta, gravação, uso e descarte dos dados de informações pessoais.
Cid Pavão Barcellos é advogado, sócio do escritório Barcellos Advogados Associados, pós-graduado em Processo Civil pela PUC-SP e em Direito Ambiental pela Faculdade de Tecnologia Ambiental Senai, ex-delegado de Polícia e doutor pela universidade UMSA, pós-doutorando pela Universidade UCES – Universidad de Ciencias Empresariales y Sociales.
Revista Consultor Jurídico
Sem Comentários