I – Introdução
Tendo em vista a nova regulamentação imposta pela Lei Geral De Proteção de Dados Pessoais (LGPD) e os impactos da mesma nas atividades empresariais, seguem abaixo breves considerações a respeito para o melhor entendimento da amplitude da nova legislação em vigor.
II – A Lei Geral de Proteção de Dados
ii.1 – Marco Legal
É consciência geral do mercado que o desenvolvimento digital proporcionou nova modelagem aos negócios entabulados, tornando necessária a proteção de dados pessoais, posto que determinados setores, em especial o varejista, possui como importante insumo informações de natureza pessoal do seu público alvo.
Neste cenário que a Lei Geral de Proteção de Dados Pessoais é sancionada, sob n.º 13.709/2018, e impõe novas regras que deverão ser observadas, objeto de destaque no presente Parecer.
ii.2 – Aspectos Relevantes
Evidente que o primeiro aspecto relevante, talvez o principal, que a Lei Geral De Proteção de Dados Pessoais objetiva proteger direitos e garantias individuais dos cidadãos, consagrados constitucionalmente, uma vez que numa sociedade globalizada, inevitável que dados e informações pessoais circulem no mercado.
Logo, imprescindível a regulação para o tratamento desses dados e informações.
Para a adequada compreensão da referida lei e seus aspectos, é imperioso que sejam dominados os conceitos utilizados pela mesma, sem prejuízo dos demais elencados no art. 5.º da referida Lei, quais sejam:
- Dados Pessoais: Compreende Nome, idade, endereço, até dados de geolocalização, perfis de compras, número do Internet Protocol (IP), histórico de compras, relativos a perfil comportamental, dentre outros;
- Dados Sensíveis: Compreende Orientação Religiosa, Sexual, Política, observações a respeito da condição física ou de saúde;
- Agente Controlador: Pessoa jurídica ou natural, de direito público ou privado, a quem competem às decisões referentes ao tratamento;
- Operador: Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento dos dados em nome do controlador; e
- Encarregado: Responsável pelo canal de comunicação entre o controlador, os titulares e a Autoridade Nacional de Proteção de Dados (ANPD)[1].
Por óbvio que os dados sensíveis necessitarão de maior proteção por parte da instituição detentora, batizada de Agente Controlador que, por sua vez, exigirá o tratamento adequado por parte do Operador[2].
Verifica-se, portanto, que o escopo da Lei Geral de Proteção de Dados Pessoais brasileira constitui não só uma orientação geral para interpretação das disposições nela positivadas, mas em si, criam novos deveres, ações positivas que deverão ser levadas a efeito pelas empresas.
ii.3 – Aspectos Práticos
Sob o prisma prático denota-se a necessidade da empresa desenvolver, adequar ou aperfeiçoar as diferentes plataformas de coleta direta de informações pessoais, seja de cadastros de consumo, acesso a websites, programas de fidelidade, departamentos comerciais e de prospecção, além dos contratos de trabalho de seus colaboradores e suas respectivas políticas de privacidade.
Por conseguinte, deve ser informado ao titular dos dados coletados com transparência e precisão:
- Quais dados pessoais estão sendo coletados;
- Para qual motivo;
- Por quanto tempo a empresa pretende mantê-los (ciclo de vida);
- E se há interesse ou necessidade de compartilhá-los.
Além disso, importante garantir que as pessoas saibam a diferença entre informações que precisam fornecer e as que são opcionais.
Outro aspecto prático igualmente importante reside no meio de obtenção do consentimento, seja por escrito como, por exemplo, em um contrato de prestação de serviço, ficha de cadastro ou consumo, termo de privacidade ou digital, a fim de ali conter todas as informações necessárias sobre o tratamento de dados, de forma clara e ostensiva.
Nesta oportunidade, o titular deve restar cientificado dos direitos estabelecidos no art. 18 da Lei Geral de Proteção de Dados, abaixo em destaque:
Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:
I – confirmação da existência de tratamento;
II – acesso aos dados;
III – correção de dados incompletos, inexatos ou desatualizados;
IV – anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;
V – portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial
VI – eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei;
VII – informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
VIII – informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
IX – revogação do consentimento, nos termos do § 5º do art. 8º desta Lei.
ii.3.i – Da Indicação do “Encarregado”
Tratar-se-á de uma exigência legal a indicação do Encarregado pelo tratamento de dados pessoais, posto que a identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador.
As atividades do encarregado consistirão em:
I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II – receber comunicações da autoridade nacional e adotar providências;
III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
IV – executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
ii.3.ii – Da Implantação das Boas Práticas e da Governança
Controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.
Ao estabelecer regras de boas práticas, o controlador e o operador levarão em consideração, em relação ao tratamento e aos dados, a natureza, o escopo, a finalidade e a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular.
Portanto, o programa de governança em privacidade deverá, no mínimo:
a) demonstrar o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais;
b) ser aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo como se realizou sua coleta;
c) adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados;
d) estabelecer políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade;
e) ter o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular;
f) estar integrado a sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos;
g) contar com planos de resposta a incidentes e remediação.
Por fim, registre-se que o programa de proteção deverá ser atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas.
III – CONSIDERAÇÕES FINAIS
Em conclusão, constata-se que o presente Parecer visa nortear nossos clientes, em linguagem clara e acessível, acerca da compreensão e escopo de aplicação da Lei Geral de Proteção de dados, frente à necessidade de se distinguir as diferentes categorias de dado pessoal e as pessoas envolvidas diretamente com o tratamento, merecendo atenção especial o Operador[3], pessoa natural ou jurídica que lhe será atribuído o papel de incorporar à rotina da empresa as boas práticas em relação à proteção de dados e atuar como canal de comunicação entre o controlador, os titulares e a Autoridade Nacional de Proteção de Dados.
Pelo seu caráter regulatório geral, espera-se que a Autoridade Nacional de Proteção de Dados tenha um papel fundamental no sentido de introduzir os players do mercado (incluindo os consumidores) nesta nova cultura, haja vista que estão no seu escopo de atribuições desde a emissão de pareceres à responsabilização administrativa dos agentes de tratamento em sanções que podem alcançar multa de até 2% (dois por cento) do faturamento da empresa, limitada a R$ 50.000.000,00 (cinquenta milhões de reais), por infração.
Por derradeiro, esclarecemos que as penalidades decorrentes do descumprimento da nova Lei Geral de Proteção de Dados entrarão em vigência na data de 01 de agosto de 2021, a fim de que as empresas e órgãos públicos possam se adaptar acerca da nova realidade do tratamento dos dados pessoais.
Curitiba-PR, 29 de setembro de 2020.
Cavet & Castamann Sociedade de Advogados
[1] Ainda a ser constituída efetivamente pelo Estado.
[2] A lei versa também sobre “dados anomizados”, ou seja, informações relativas a uma pessoa natural não passível de ser identificada ou pseudonimizados.
[3] DPO – Data Protection Officer
