A Lei Geral de Proteção de Dados Pessoais (LGPD), Lei nº 13.709/2018, nasceu com a alcunha de Marco Civil da Internet; e foi oficialmente alçada à condição de lei geral de proteção de dados pessoais após as alterações introduzidas através da Lei 13.853/2019.
A LGPD foi publicada em 15 de agosto de 2018, com vigência a partir de 1º de agosto de 2021 em relação às sanções por infração à lei.
A norma tem como meta disciplinar formas de tratamento de dados pessoais, inclusive nos meios digitais, delimitando responsabilidades de todos que manipulem essas informações, no intuito principal de proteger os direitos fundamentais de liberdade e privacidade e o livre desenvolvimento da personalidade de cada indivíduo.
A LGPD é aplicável a qualquer operação de tratamento de dados realizada tanto por pessoas naturais (pessoa física), quanto por pessoas jurídicas de direito público ou privado, independentemente do meio, do país de sua sede ou no qual estejam depositados estes dados, desde que: a operação de tratamento seja realizada no Brasil, a coleta dos dados tenha sido executada no Brasil ou, ainda, que a atividade de tratamento tenha como objetivo a oferta ou o fornecimento de bens ou serviços em território nacional.
Importa ressaltar a abrangência do termo independentemente do meio, posto apontar que qualquer forma de tratamento de dados de terceiros está sendo abarcada e deve ser objeto de análise criteriosa.
Então, há se atentar que a LGPD está abarcando tanto o tratamento dos grandes bancos de dados, quanto daquela caderneta informal que os pequenos comerciantes e empreendedores utilizam para guardar informações e dados dos seus clientes.
Por outro lado, a proteção desta lei não se aplica a tratamento de dados realizados: por pessoa natural para fins exclusivamente particulares e não econômicos; para fins exclusivamente jornalísticos, artísticos ou acadêmicos; para fins exclusivos de segurança pública, defesa nacional e segurança do Estado; ou para atividades de investigação e repressão a infrações penais.
Ainda, ressalte-se que o parágrafo único do artigo 1º, de forma categórica, assenta que as normas contidas na lei são de interesse nacional e devem (obrigatoriamente!) ser observadas pela União, Estados, Distrito Federal e Municípios.
Ou seja, o Poder Público não pode eximir-se de atuação em prol desta proteção; ao contrário, por se tratar de matéria de interesse nacional, tem a obrigação de atuar para efetivar ao máximo o corolário de proteção apontado no normativo.
Os fundamentos basilares expressamente apresentados na lei, que devem regular a execução do comando da norma (art. 2º), são: i) respeito à privacidade; ii) autodeterminação informativa; iii) liberdade de expressão, de informação, de comunicação e de opinião; iv) inviolabilidade da intimidade, da honra e da imagem; v) desenvolvimento econômico e tecnológico e a inovação; vi) livre iniciativa, livre concorrência e defesa do consumidor; vii) direitos humanos, livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania.
No artigo 6º, há o elenco de princípios a serem seguidos por todos os envolvidos no tratamento de dados, quais sejam:
1) finalidade atuação para propósitos legítimos, específicos, explícitos;
2) adequação compatibilidade do tratamento com as finalidades informadas ao titular;
3) necessidade limitação do tratamento ao mínimo necessário para a realização de suas finalidades;
4) livre acesso garantia ao titular de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
5) qualidade dos dados garantia ao titular de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade do tratamento;
6) transparência garantia ao titular de informação clara, precisa e facilmente acessível sobre a realização do tratamento e os respectivos agentes de tratamento, observado o segredo comercial e industrial;
7) segurança utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações incidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
8) prevenção adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados;
9) não discriminação impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos; e
10) responsabilização e prestação de contas demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais, e, inclusive, da eficácia dessas medidas.
Dentre os diversos conceitos apresentados no artigo 5º desta Lei, em um primeiro momento, devemos atentar para:
a) dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
b) dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
c) banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;
d) titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
e) agentes de tratamento: o controlador e o operador;
f) controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
g) operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
h) tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
i) consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.
Em nosso entender, o elemento principal da LGPD a autorizar o tratamento de dados pessoais por terceiros é o consentimento!
O consentimento (art. 7º, I) do indivíduo a que seus dados sejam tratados é a linha mestra no que se refere ao balizamento da responsabilização quanto à utilização destes dados pessoais.
Também são apresentadas na Lei situações de exceção ao consentimento, como se percebe dos demais incisos e parágrafos do artigo 7º.
Como exemplos à dispensa da necessidade de consentimento, podemos apontar: cumprimento de ordem legal; execução de políticas públicas previstas em lei; realização de estudos por órgãos de pesquisa; execução de contratos; exercício regular de direitos em processo (judicial, administrativo ou arbitral); proteção da vida ou integridade física de alguma pessoa; tutela da saúde; evitar e prevenir fraudes; proteção ao crédito; caso os dados já tenham sido manifestamente tornado públicos pelo próprio titular.
O controlador ou o operador que, em razão de exercício de atividade de tratamento de dados pessoais, causar dano patrimonial, moral, individual ou coletivo, em violação à LGPD, é obrigado a repará-lo.
Há se ressaltar que esta responsabilidade é solidária, tanto do operador em relação ao controlador, quanto aos controladores que tiverem envolvimento no tratamento de dados.
Estes agentes de tratamento só não serão responsabilizados pelos danos quando provarem:
i) que não realizaram o tratamento de dados pessoais que lhes é atribuído;
ii) que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou
iii) que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.
O tratamento de dados pessoais será considerado irregular quando deixar de observar a legislação que trata do tema ou quando não fornecer a segurança que o titular de pode esperar, consideradas as circunstâncias relevantes, entre as quais: o modo pelo qual é realizado; o resultado e os riscos que razoavelmente dele se esperam; as técnicas de tratamento de dados disponíveis à época em que foi realizado.
Serão também considerados responsáveis os agentes de tratamento que deixarem de adotar as boas práticas, governança e medidas de segurança e sigilo de dados indicados na LGPD.
Em consequência da responsabilização, os agentes de tratamento poderão sofrer de forma gradativa, isolada ou cumulativamente - as seguintes sanções administrativas:
-
advertência, com indicação de prazo para adoção de medidas corretivas;
-
multa simples, de 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, limitada no total de R$50.000.000,00 (cinquenta milhões de Reais) por infração;
-
multa diária, observado o limite do item anterior;
-
publicização da infração após devidamente apurada e confirmada sua ocorrência;
-
bloqueio ou eliminação dos dados pessoais a que se refere a infração;
-
suspensão parcial do funcionamento do banco de dados a que se refere a infração, pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
-
suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração, pelo período máximo de 6 (seis) meses, prorrogável por igual período;
-
proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Neste diapasão, imperioso que todas aquelas pessoas físicas ou jurídicas, de direito público ou privado, têm que se esmerar na adoção de todas as medidas possíveis, para que atendam às exigências de proteção, prevenção e cuidado no tratamento de dados colhidos em todas as instâncias e de todos os modos físicos ou eletrônicos.
Importante relembrar que a aplicação destas sanções tem como ponto inicial o dia 1º de agosto de 2021, já sendo cabível a responsabilização pelo inadequado tratamento dos dados pessoais desde esta data.
E o Diretor-Presidente da Autoridade Nacional de Proteção de Dados (ANPD), em declaração feita ao Jornal Valor Econômico, afirmou que as multas e demais sanções poderão ser retroativas àquela data.
Assim, aquela pessoa física ou jurídica que não tratou adequadamente os dados sob sua responsabilidade, poderá sofrer as sanções por situações de inadequação à forma estabelecida na Lei retroativamente a agosto de 2021.
A LGPD traz em seu bojo diversas ações que devem ser efetivadas pelos agentes de tratamento, notadamente em seu Capítulo II (artigos 7º a 16); e também pelo Poder Público no Capítulo IV (artigos 23 a 32).
Todos devem promover efetivas mudanças em seus protocolos e fluxogramas de procedimentos, para atuar de acordo com as exigências legais, buscando ações, técnicas e equipamentos mais eficientes à garantia da segurança de todo o processo de tratamento de dados.
Imprescindível, em qualquer área de atuação, a todos estejam envolvidos de alguma forma com o tratamento de dados, que promovam a análise minuciosa de todas as etapas de seus procedimentos, buscando a mais ampla e adequada formatação para garantir segurança, nos moldes da LGPD.
E você, já cuidou de promover a adequação de todos os seus procedimentos, para que se garanta (e possa comprovar essa garantia!) a efetiva proteção dos dados de terceiros que se encontram sob sua responsabilidade?
