O QUE MUDA COM A NOVA LEI GERAL DE PROTEÇÃO DE DADOS?

LGPD

Após vários anos de debates (alguns realizados há décadas), foi sancionada no último dia 14 de agosto a Lei 13.709/2018, a Lei Geral de Proteção de Dados (LGPD) brasileira. Assim, após o período de 18 meses de vacatio legis, o diploma entrará em vigência plena em fevereiro de 2020.

Resumidamente, trata-se da esperada regulação que dá aos cidadãos em território nacional controle sobre seus dados pessoais[1]. Os usuários de aplicações da internet (ou qualquer outra que envolva armazenamento e tratamento de dados) têm o direito de serem informados sobre o que empresas, sejam elas públicas ou privadas, fazem com os seus dados. A nova lei também dá o direito ao usuário de solicitar a retirada ou a portabilidade dessas informações para outros controladores e servidores[2].

Diante desse cenário, começa a corrida pela adequação dos diversos players de mercado que, em maior ou menor grau, serão atingidos pela nova regulamentação, em movimento muito semelhante ao ocorrido nos Estados que compõem a União Europeia com a edição da GDPR (General Data Protection Regulation). A lei de proteção de dados europeia entrou em vigor no dia 25 de maio de 2018 e gerou uma aceleração global de adequação das políticas de privacidade e termos de uso, muito por conta do seu âmbito de aplicação territorial, protegendo os dados pessoais de cidadãos europeus em qualquer lugar do mundo, independentemente do local de armazenamento ou tratamento dos seus dados[3]. Na prática a lei europeia tem abrangência internacional, com multas que podem alcançar 20 milhões de euros.

Nesse aspecto, a lei brasileira difere-se no sentido de ser aplicável a qualquer operação de tratamento de dados quando estes forem obtidos e tratados em território nacional[4], com multas que chegam aos 50 milhões de reais, por violação.

O atual panorama da proteção de dados no Brasil é difuso, com diversas leis tratando sobre o tema (Marco Civil da Internet, Código de Defesa do Consumidor, Lei do Cadastro Positivo, Lei de Acesso à Informação, entre outros (Lima, 2018)). Com a sanção presidencial, o novo diploma legal trará um relevante avanço na proteção de dados pessoais em território nacional, alinhando-se aos mais elevados níveis de proteção do mundo.

Em evidente atenção a diversos princípios constitucionais, a LGPD procura proteger direitos fundamentais dos usuários, entre eles o respeito à privacidade (abrangendo a inviolabilidade da intimidade, honra e imagem), à liberdade (aqui entendida como a liberdade de expressão, informação, comunicação e opinião), ao desenvolvimento econômico e tecnológico (por meio da inovação, da livre iniciativa, concorrência e a defesa do consumidor) e aos direitos humanos (com o livre desenvolvimento da personalidade da pessoa natural[5]).

Os dados passam a ser utilizados pelos controladores (descritos na lei como responsáveis pelo tratamento dos dados pessoais) devendo observar princípios como os da boa-fé, finalidade (o tratamento deve obedecer a uma finalidade e propósito específico para o qual é aplicado), necessidade (o tratamento deverá se restringir ao mínimo necessário para realização das suas finalidades), entre outros[6]. Os controladores deverão elaborar relatórios de impacto de proteção de dados, avaliando todos os procedimentos (do início ao fim do tratamento) com o fim de demonstrar à Autoridade Nacional de Proteção de Dados (autoridade reguladora que deverá ser criada por lei de iniciativa do poder executivo[7]) a indicação de quais fundamentos autorizam aquele tratamento em específico, assim como quais medidas de segurança serão implementadas para evitar vazamentos e a perda de dados pessoais.

Juntamente com os referidos princípios, o tratamento dos dados pessoais só poderá ser realizado quando observado o disposto nos incisos do art. 7º da LGPD[8], sendo o consentimento do titular (expresso e com finalidade determinada, sob pena de nulidade[9]) apenas uma entre dez hipóteses de tratamento de dados dos usuários.

Sobre isso, merece especial destaque a preocupação da lei em permitir o tratamento de dados (sem a necessidade de consentimento) quando este for utilizado pela administração pública na execução de políticas públicas e para a proteção ao crédito (cadastros positivos e negativos), garantido ao usuário o direito de obter do controlador, em qualquer momento, diversas informações sobre a existência, acesso e tratamento dos seus dados[10], além do direito de peticionar contra o controlador perante a ANPD[11], em procedimento administrativo. Outra importante ressalva é a dispensa de consentimento do usuário quando este tornar os seus dados manifestamente públicos[12], categorização que deverá ser esclarecida conforme o amadurecimento da legislação.

O consentimento do usuário poderá sempre ser revogado, a qualquer momento e em procedimento gratuito e visualmente simples[13], bem como este poderá solicitar o acesso (também de forma facilitada) a toda e qualquer informação a respeito do tratamento dos seus dados pessoais[14].

Os dados sensíveis (dado pessoal sobre origem racial, étnica, religiosa, política, entre outros[15]) receberam tratamento diferenciado pela legislação, podendo serem objeto de tratamento somente com expresso consentimento para finalidades específicas, ou quando for indispensável para o cumprimento de normas regulatórias, políticas públicas, estudos por órgãos de pesquisa, exercício regular de direitos, proteção da vida e da saúde do titular ou terceiro e a garantia da prevenção à fraude e à segurança do titular[16].

Houve especial atenção à regulação dada pela lei no tratamento de dados de crianças e adolescentes. Além de condicionar o uso dos dados de menores somente após o consentimento expresso de pelo menos um dos pais (ou responsável legal) de forma verificável[17], a lei determinou que os controladores não poderão condicionar o uso de determinada ferramenta (como jogos ou outros aplicativos) mediante o fornecimento, pelos usuários, de dados que não sejam os estritamente necessários à atividade[18]. Considerando a relevante atividade comercial em torno dessa atividade (dados em troca de serviços), restará saber quais dados serão considerados “estritamente necessários”, segundo critérios da razoabilidade, livre iniciativa e o melhor interesse das crianças e adolescentes[19].

O tratamento de dados deverá terminar, bem como os dados serem excluídos (com exceção da necessidade de conservação legal dos dados), sempre que a sua finalidade for alcançada, quando ocorrer o fim do período de tratamento, quando o titular solicitar (revogação) e quando, por determinação da Autoridade Nacional de Proteção de Dados, esta requerer a interrupção do tratamento[20].

Por fim, foi vetado pelo Presidente Michel Temer a criação da Autoridade Nacional de Proteção de Dados (ANPD), entidade designada pela lei para elaborar as diretrizes para Política Nacional de Proteção de Dados Pessoais, além de fiscalizar e aplicar sanções no âmbito de regulamentação da LGPD, editar regulamentos, entre outras atribuições.

Segundo as razões dos vetos[21], a criação do órgão foi excluída por “vício de iniciativa”. O legislativo não poderia propor a formação de autarquias que demandam novos gastos no orçamento da União, sendo esta uma prerrogativa do Poder Executivo. Um novo projeto de lei, agora de autoria do Executivo, será enviado para o Congresso Nacional nas próximas semanas para viabilizar a criação da nova agência reguladora.

Com tantas novidades, não é por menos que uma verdadeira avalanche de dúvidas surja a respeito do tema. Não só as grandes empresas que comercializam dados pessoais (facebook, google e afins) serão afetadas, mas também os usuários, startups, pequenas e médias empresas de Ecommerce e internet, além da própria administração pública. Todos terão de se adequar para que não incorram nas sanções previstas pela lei.

Exemplo disso é a necessidade dos controladores indicarem encarregados pelo tratamento de dados pessoais, os chamados data protection officers, que entre outras funções deverão criar uma cultura de proteção de dados dentro das companhias, utilizando governança corporativa e ferramentas de compliance, além de serem o elo das empresas com a Autoridade Nacional de Proteção de Dados [22]

Se levarmos em conta o nível de exigência da lei, o período de 18 meses de vacatio legis se revela curto para o elevado nível de exigência que a nova regulamentação traz. Empresas, controladores e demais agentes diretamente afetados devem estar atentos ao prazo de vigência da lei para que todas as implementações jurídicas e de Tecnologia da Informação sejam devidamente efetivadas.


RAFAEL ALMEIDA OLIVEIRA REIS – Advogado. Integrante da Comissão de Inovação e Gestão da OAB/PR.

Referências

Lima, C. C. (14 de 08 de 2018). Sancionada a Lei Geral Brasileira de Proteção de Dados (LGPD): e agora? Fonte: JOTA: https://www.jota.info/opiniao-e-analise/colunas/direito-digital/sancionada-a-lei-geral-brasileira-de-protecao-de-dados-lgpd-e-agora-14082018

BRASIL. Lei nº 13.709 de 14 de agosto de 2018. Lei Geral de Proteção de Dados. Diário Oficial, Brasília, DF. 2018.

Notas

[1] Informação relacionada a pessoa natural identificada ou identificável. Art. 5º, I, Lei 13.709/2018.

[2] Art. 18 da Lei 13.709/2018: O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição: V – portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa e observados os segredos comercial e industrial, de acordo com a regulamentação do órgão controlador;

[3] Artigo 3º Âmbito de aplicação territorial 1.O presente regulamento aplica-se ao tratamento de dados pessoais efetuado no contexto das atividades de um estabelecimento de um responsável pelo tratamento ou de um subcontratante situado no território da União, independentemente de o tratamento ocorrer dentro ou fora da União. 4.5.2016 L 119/32 Jornal Oficial da União Europeia PT 2.O presente regulamento aplica-se ao tratamento de dados pessoais de titulares residentes no território da União, efetuado por um responsável pelo tratamento ou subcontratante não estabelecido na União, quando as atividades de tratamento estejam relacionadas com: a) A oferta de bens ou serviços a esses titulares de dados na União, independentemente da exigência de os titulares dos dados procederem a um pagamento; b) O controlo do seu comportamento, desde que esse comportamento tenha lugar na União. 3.O presente regulamento aplica-se ao tratamento de dados pessoais por um responsável pelo tratamento estabelecido não na União, mas num lugar em que se aplique o direito de um Estado-Membro por força do direito internacional público. REGULAMENTO (UE) 2016/679 DO PARLAMENTO EUROPEU E DO CONSELHO de 27 de abril de 2016 relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados)

[4] Art. 3º Esta Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que: I – a operação de tratamento seja realizada no território nacional; II – a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; III – os dados pessoais objeto do tratamento tenham sido coletados no território nacional. § 1º Consideram-se coletados no território nacional os dados pessoais cujo titular nele se encontre no momento da coleta. § 2º Excetua-se do disposto no inciso I deste artigo o tratamento de dados previsto no inciso IV do caput do art. 4º desta Lei. (LGPD)

[5] Art. 1º Lei 13.709/2018: Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

Art. 2º A disciplina da proteção de dados pessoais tem como fundamentos:I – o respeito à privacidade;II – a autodeterminação informativa;III – a liberdade de expressão, de informação, de comunicação e de opinião;IV – a inviolabilidade da intimidade, da honra e da imagem;V – o desenvolvimento econômico e tecnológico e a inovação;VI – a livre iniciativa, a livre concorrência e a defesa do consumidor; eVII – os direitos humanos, o livre desenvolvimento da personalidade, a dignidade

[6]Art. 6º Lei 13.709/2018: As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:I – finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;II – adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;III – necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;IV – livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;V – qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;VI – transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;VIII – prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

IX – não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;X – responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

[7] Ver referência de nº 18.

[8]Art. 7º Lei 13.709/2018: O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:I – mediante o fornecimento de consentimento pelo titular;II – para o cumprimento de obrigação legal ou regulatória pelo controlador;III – pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;IV – para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;V – quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;VI – para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);VII – para a proteção da vida ou da incolumidade física do titular ou de terceiro;VIII – para a tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias;IX – quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ouX – para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

[9]Art. 8º, § 4º Lei 13.709/2018: O consentimento deverá referir-se a finalidades determinadas, e as autorizações genéricas para o tratamento de dados pessoais serão nulas.

[10]Art. 18. Lei 13.709/2018: O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:I – confirmação da existência de tratamento;II – acesso aos dados;III – correção de dados incompletos, inexatos ou desatualizados;IV – anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;V – portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa e observados os segredos comercial e industrial, de acordo com a regulamentação do órgão controlador;VI – eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei;VII – informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;VIII – informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;IX – revogação do consentimento, nos termos do § 5º do art. 8º desta Lei.

[11] ANPD – Agência Nacional de Proteção de Dados.

[12]Art. 7º, § 4º Lei 13.709/2018: É dispensada a exigência do consentimento previsto no caput deste artigo para os dados tornados manifestamente públicos pelo titular, resguardados os direitos do titular e os princípios previstos nesta Lei.

[13]§ 5º Lei 13.709/2018: O consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação, nos termos do inciso VI do caput do art. 18 desta Lei.

[14] Art. 9º Lei 13.709/2018: O titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca de, entre outras características previstas em regulamentação para o atendimento do princípio do livre acesso:I – finalidade específica do tratamento;II – forma e duração do tratamento, observados os segredos comercial e industrial;III – identificação do controlador;IV – informações de contato do controlador;V – informações acerca do uso compartilhado de dados pelo controlador e a finalidade;VI – responsabilidades dos agentes que realizarão o tratamento; eVII – direitos do titular, com menção explícita aos direitos contidos no art. 18 desta Lei.

[15]Art. 5º, II Lei 13.709/2018: – dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

[16]Art. 11. Lei 13.709/2018: O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses: I – quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas; II – sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para: a) cumprimento de obrigação legal ou regulatória pelo controlador; b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos; c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis; d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem); e) proteção da vida ou da incolumidade física do titular ou de terceiro; f) tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias; ou g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais

[17]Art. 14. Lei 13.709/2018: O tratamento de dados pessoais de crianças e de adolescentes deverá ser realizado em seu melhor interesse, nos termos deste artigo e da legislação pertinente.

  • 1º O tratamento de dados pessoais de crianças deverá ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal.

[18]Art. 14, § 4º Lei 13.709/2018: Os controladores não deverão condicionar a participação dos titulares de que trata o § 1º deste artigo em jogos, aplicações de internet ou outras atividades ao fornecimento de informações pessoais além das estritamente necessárias à atividade.

[19] Nesse ponto existe a discussão sobre até que ponto um adolescente não poderia ter autodeterminação para “escolher” vender seus dados em troca de utilizar determinado serviço ou produto.

[20] Art. 15, Lei 13.709/2018.

[21]Arts. 55 ao 59 – MJ, MF, CGU, Bacen, MP, MSP e MCTIC. Razão dos vetos “Os dispositivos incorrem em inconstitucionalidade do processo legislativo, por afronta ao artigo 61, §1º, II, “e”, cumulado com o artigo 37, XIX da Constituição.”

[22]Art. 41, Lei 13.709/2018. O controlador deverá indicar encarregado pelo tratamento de dados pessoais.



Categorias:Direito Digital, Direito Empresarial

Tags:, , , , , , , ,

2 respostas

Trackbacks

  1. O QUE MUDA COM A NOVA LEI GERAL DE PROTEÇÃO DE DADOS? – Almeida Reis Advocacia
  2. O Direito Digital – novos mecanismos de proteção à nova Sociedade da Informação – NOVO JURISTA

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google

Você está comentando utilizando sua conta Google. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s

%d blogueiros gostam disto: