As primeiras horas do último dia 17 de setembro trouxeram consigo uma grande agitação entre profissionais, estudiosos e curiosos da proteção de dados pessoais no Brasil. As redes sociais, plataformas de cursos on line, número de lives, webinars e, especialmente, a movimentação de grupos temáticos de Whatsapp foram bons termômetros para esta constatação.
Pela primeira vez em um cenário de espera de aproximadamente uma década, desde que se iniciaram as discussões legislativas mais embrionárias sobre o tema nas Casas Legislativas, foi possível afirmar com relativa certeza a data da entrada em vigor da primeira lei geral destinada a tratar a proteção de dados no Brasil, a Lei n.º 13.709/2018 – Lei Geral de Proteção de Dados Pessoais, que passaremos a chamar apenas de “LGPD” ou “Lei”.
Sim, o processo legislativo foi custoso, marcado por valiosas contribuições da sociedade, mas também por incerteza, pressão política e reviravoltas que desafiariam até os mais hábeis roteiristas a narrá-lo com precisão. Não por acaso, a LGPD após sancionada pelo então presidente da república Michel Temer, em 14 de agosto de 2018, teve algumas datas de possível entrada em vigor até que sobreviesse o dia 18 de setembro de 2020, conforme traduz a linha do tempo abaixo.
A entrada em vigor da LGPD, exceto por pelos artigos que disciplinam as sanções administrativas e gerarão seus efeitos práticos só a partir de agosto de 2021, traduz certamente uma oportunidade para o início de uma história de maior transparência – e portanto, conscientização - ética, lealdade e equilíbrio no tratamento dos dados pessoais.
Tendo como um de seus fundamentos a autodeterminação informativa, a Lei conferiu ao titular o poder de controlar os seus próprios dados pessoais, rompendo com um contexto anterior de coleta massiva e tratamento desenfreado.
Além disso, a Lei coloca o Brasil entre os candidatos para uma lista seleta de países reconhecidos internacionalmente como adequados para tratar dados pessoais. Isso quer dizer que eleva a expectativa de que o país possa continuar fazendo negócios e fornecendo produtos e serviços para outros países que exijam tal adequação como requisito para tanto.
Vamos lá!
A LGPD não é a primeira norma a reger a proteção de dados no Brasil. O tema vinha sendo disciplinado de maneira difusa por outros diplomas legais.Vejam que a Lei n.º 8.078/1990– Código de Defesa do Consumidor, o Decreto n.º 7.962/2013, que regulamentou oCódigo de Defesa do Consumidor para tratar sobre a contratação no comércio eletrônico, a Lei n.º 12.965/2014 –Marco Civil da Internet, dentre outras leis e normas setoriais, já o abordavam.Ainda assim, o cenário brasileiro, a exemplo do que também ocorreu em outros países ao redor do mundo, clamava por uma norma específica, transversal e que conseguisse impor seus efeitos de maneira mais isonômica às pessoas naturais e jurídicas, públicas ou privadas, que tratassem dados pessoais, a quem também chamaremos “Agentes de Tratamento”.
A Lei veio exatamente para estabelecer, de forma organizada, essas regras ao tratamento de dados pessoais, assim considerados aqueles dados que identifiquem ou possam identificar uma determinada pessoa natural.
Em outras palavras, não apenas os dados conhecidos como dados pessoais diretos, como por exemplo, nome, números de RG, CPF, passaporte, título de eleitor e carteira nacional de habilitação, passaram a ser protegidos pela LGPD, mas também aqueles dados pessoais que indiretamente revelam a identidade de uma determinada pessoa, como a sua geolocalização, preferências e gostos, hábitos de consumo, que em um primeiro momento não parecem capazes de identificá-la, mas quando somados a outras informações podem fazê-lo.
Quando a Lei fala em tratamento, ela se refere a tudo o que acontece como dado pessoal desde a sua coleta até o seu descarte, incluindo neste conceito a produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração de dados pessoais.
É por isso que, a partir da entrada em vigor da LGPD, há uma irrefutável necessidade de mudança cultural. Passa a vigorar o raciocínio de quanto menos dados pessoais, menor a exposição ao risco para Agentes de Tratamento. Percebam que uma vez coletados, ainda que nunca acessados novamente após a coleta, os dados pessoais permanecem sendo objeto de proteção legal. Isso porque, para os fins da Lei, o mero armazenamento está inserido entre as atividades de tratamento.
A Lei também não limita sua abrangência ao tratamento ocorrido no ambiente digital, sendo válido lembrar que está sob o seu comando também o tratamento ocorrido em meio físico, como o papel por exemplo. Portanto, a necessidade dos arquivos infindáveis de documentos físicos, que provavelmente jamais serão revisitados, merece especial reavaliação e, na maioria das vezes, descarte.
A quem se aplica?
Ultrapassados alguns dos conceitos básicos acima, sem nenhuma pretensão de esgotá-los na visão geral a que se propõe este artigo, a LGPD se aplica a qualquer operação de tratamento, conforme descrita anteriormente, realizada por pessoa natural ou jurídica, independentemente do país em que esteja estabelecida a sua sede ou do país onde estejam localizados os dados, desde que:
· o tratamento seja realizado no Brasil; ou
· o tratamento tenha por objetivo a oferta ou fornecimento de bens ou serviços no Brasil ou tenha como objeto dados de indivíduos localizados no Brasil; ou
· os dados pessoais, objeto do tratamento, tenham sido coletados no Brasil
Exceto se:
· realizado por pessoa natural para fins exclusivamente particulares;
· realizado exclusivamente para fins jornalístico e artísticos ou acadêmicos;
· realizado para fins exclusivos de segurança pública; defesa nacional; segurança do Estado; ou atividades de investigação e repressão de infrações penais; ou ainda
· os dados forem provenientes de fora do Brasil e que não sejam objeto de comunicação, uso compartilhado coma gentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta Lei.
E o que há de novo?
Vistos alguns dos conceitos básicos e a delimitação da aplicabilidade da LGPD, importante entender como o tratamento de dados pessoais foi impactado pela entrada em vigor da Lei.
Sobre tal impacto, iniciaremos ressaltando que a LGPD não pretende impedir ou inviabilizar o fluxo de dados pessoais, inegavelmente necessário ao crescimento econômico e social do país. Aliás, cumpre destacar que, se por um lado a LGPD tem como objetivo a proteção dos direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade humana, por outro lado encontra o seu fundamento também no desenvolvimento econômico, tecnológico e na inovação, bem como na livre iniciativa e livre concorrência.
No entanto, não impedir ou inviabilizar o fluxo de dados pessoais não significa dizer que o tratamento desses dados pessoais segue de forma massiva, desenfreada e, por vezes, em desrespeito ao direito dos seus titulares. É por isso que, desde 18de setembro de 2020, todo e qualquer tratamento de dado pessoal deve ser enquadrado em uma das hipóteses – que chamamos de “Bases Legais” - previstas na LGPD, para que possa ser realizado.
Os artigos 7º e 11 da Lei se prestam a definir essas Bases Legais. Enquanto o primeiro estabelece as Bases Legais para o tratamento de dados pessoais, cujo conceito já vimos acima, o segundo destina-se ao estabelecimento das Bases Legais específicas para o tratamento de dados pessoais sensíveis. Dados pessoais sensíveis são aqueles cujo tratamento pode levar a uma situação discriminatória contra o seu titular, como por exemplo, os dados sobre origem racial ou étnica, convicção religiosa, dado referente à saúde ou à vida sexual, dentre outros.
De acordo com os artigos citados acima – e sem dispensar a leitura atenta de seus conteúdos - o tratamento de dados pessoais poderá ser realizado, por exemplo, sempre que necessário para o cumprimento de uma obrigação legal ou regulatória por quem execute tal tratamento; quando necessário para a execução de contrato ou procedimentos preliminares relacionados a contrato do qual seja parte o titular; para a proteção da vida ou da incolumidade física do titular ou de terceiro; quando houver o consentimento pelo titular, dentre outras bases legais ali dispostas.
Para se ter a segurança de que o tratamento ocorrerá de forma legítima por quem o faça, não basta que tal tratamento esteja subsumido às hipóteses referidas acima. Sob a ótica legal, faz-se necessário ainda, que ele esteja em harmonia com os demais dispositivos da LGPD e, nesse sentido, que :
· observe a boa-fé;
· garanta aos titulares informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e respectivos agentes, observados os segredos comercial e industrial
· respeite a finalidade informada ao titular dos dados pessoais tratados;
· seja adequado e, portanto, compatível com sua finalidade;
· utilize a menor quantidade de dados necessários ao atingimento dessa finalidade;
· observe a qualidade dos dados pessoais tratados;
· que seja realizado sob a utilização de medidas técnicas e administrativas aptas a proteger os dados tratados de acesso não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
· adote meios de prevenir a ocorrência de danos;
· que não seja realizado para fins discriminatórios ilícitos ou abusivos;
· garanta a consulta facilitada e gratuita sobre a sua forma e duração, bem como sobre a integralidade dos dados pessoais tratados; e
· o agente de tratamento seja capaz de comprovar a observância e o cumprimento das normas de proteção de dados.
E, uma vez observadas as Bases Legais e os princípios narrados acima, os dados pessoais poderão ser tratados até (i) que se verifique que a finalidade para a qual foram coletados foi atingida ou que os dados deixaram de ser necessários para alcançar tal finalidade; (ii) que chegue ao fim o período de tratamento; (iii) que o consentimento do titular seja revogado, quando esta fora Base Legal eleita para o tratamento; ou (iv) que o término seja determinado pela autoridade nacional proteção de dados, a quem chamaremos de “ANPD”, quando houver violação ao que dispõe a Lei.
E se não for assim?
A Lei dispõe que a desobediência de seus dispositivos pelos Agentes deTratamento implicará, na hipótese de causarem dano patrimonial, moral, individual ou coletivo, a obrigação de repará-lo.
Diz mais. Não afasta as regras de responsabilidade previstas no Código de Defesa do Consumidor, caso a violação do direito do titular ocorra no âmbito das relações de consumo.
Mas a Lei ainda não para por aí e dedica um de seus dez capítulos ao estabelecimento das sanções administrativas.
Essas últimas são as penalidades que serão aplicadas, a partir de agosto de 2021, como mencionado anteriormente, pela ANPD.
Portanto, a partir do próximo mês de agosto, os Agentes de Tratamento que infringirem a Lei também ficarão sujeitos à:
· advertência, com indicação de prazo para adoção de medidas corretivas;
· multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$50.000.000,00 (cinquenta milhões de reais) por infração;
· multa diária, observado o limite total a que se refere o inciso II;
· publicização da infração após devidamente apurada e confirmada a sua ocorrência;
· bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
· eliminação dos dados pessoais a que se refere a infração;
· suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
· suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
· proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Isso não significa a instalação da impunidade até lá.
Lembram do que falamos acima sobre o dever de reparar o dano? Além desse dever, outras sanções podem ser aplicadas desde já, por órgãos legitimados para tanto, como o Ministério Público, a Secretaria Nacional do Consumidor – SENACON, dentre outros.
Considerações finais
Assim, diante da abordagem que fizemos acima, podemos constatar que (i) a LGPD está em vigor, e suas regras, exceto pelas sanções administrativas, são aplicáveis desde já; (ii) a Lei altera a cultura, aposição do Brasil no cenário global e a forma de tratamento dos dados pessoais, impondo-lhe regras que beneficiam o equilíbrio nas relações existentes entre titulares e Agentes de Tratamento; (iii) se você é Agente de Tratamento, seja transparente e cumpra as regras postas, isso fideliza; (iv) se, enquanto Agente de Tratamento, ainda não estiver adequado ao que dispõe a Lei, não há tempo a perder, adeque-se; (iv) se está lendo este artigo, conheça os seus direitos enquanto titular[1], faça uso deles para proteger os seus dados, exercendo-os de forma razoável e proporcional, lembrando sempre de que, se a Lei trouxe consigo uma oportunidade de construirmos relações mais transparentes, éticas, leais e equilibradas, isso sempre valerá para os dois lados.
Referências Bibliográficas:
BRASIL. Lei n° 13.709, de 14 de agosto de 2018.Lei Geral de Proteção de Dados Pessoais (“LGPD”). Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm
Maldonado, Viviane Nóbrega; Blum, Renato Opice, coordenadores – LGPD: Lei Geral de Proteção de Dados comentada – 2ª Edição –São Paulo: Thomson Reuters Brasil, 2019.
Maldonado, Viviane Nóbrega, coordenadora – LGPDLei Geral de Proteção de Dados Pessoais – Manual de Implementação – 3ª tiragem –São Paulo: Thomson Reuters Brasil, 2019.
Portal da Privacidade – Escritório Opice Blum Bruno Abrusio Vainzof https://www.portaldaprivacidade.com.br/lgpd-linha-do-tempo/
[1] Quer saber mais sobre os direitos do titular? https://www.nextlawacademy.com.br/blog/lgpd-quais-sao-os-meus-direitos
______________________________________________________________________________________________________________________________________
