LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS – LEI 13.709/2018
1. Panorama Geral da LGPD
A Lei Geral de Proteção de Dados Pessoais (“LGPD”) dispõe sobre o tratamento de dados pessoais nos setores público e privado, materializando a consolidação de matérias que versam sobre os temas de Privacidade e Proteção de Dados. O texto consiste em uma lei nacional inspirada em parâmetros internacionalmente estabelecidos, em especial naqueles dispostos no Regulamento Geral de Proteção de Dados da União Europeia (General Data Protection Regulation – “GDPR”) que entrou em vigor em 25 de maio de 2018.
1.1. Escopo de Aplicação
A LGPD se aplica a qualquer pessoa física ou jurídica, de direito público ou privado, que realize operações de tratamento (coleta, produção, recepção, classificação, processamento, etc.) de dados pessoais em território nacional, caso: (i) o tratamento tenha como objetivo a oferta ou fornecimento de bens ou serviços, (ii) o tratamento de dados seja de indivíduos em território nacional, ou ainda (iii) os dados pessoais tenham sido coletados em território nacional. Nesse sentido, é possível observar que os termos da aplicação da lei se aproximam daqueles previstos no GDPR.
A LGPD não é aplicável, entretanto, nos casos em que o tratamento dos dados pessoais for realizado:
(i) Por pessoa física, para fins particulares e não comerciais;
(ii) Para fins exclusivamente jornalísticos, artísticos ou acadêmicos;
(iii) Pelo Poder Público, nas hipóteses de utilização para a promoção da segurança pública, da defesa nacional, da segurança do Estado ou de atividades de investigação e repressão de infrações penais; ou
(iv) Quando esses dados pessoais forem provenientes de fora do território nacional e não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência (desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto na lei).
1.2. Principais Conceitos e Atores
Para os fins da LGPD, “dados pessoais” são informações relacionadas a pessoas naturais direta ou indiretamente identificáveis. Dentro deste conjunto, os “dados pessoais sensíveis”, por sua vez, compõem uma categoria específica de informações pessoais que demandam maior grau de proteção legal diante do potencial discriminatório que pode derivar do seu tratamento. Entram nesta lista aqueles dados pessoais sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dados referentes à saúde ou à vida sexual, ou ainda dado genético ou biométrico, quando vinculado a uma pessoa natural. Desse modo, enquanto o dado pessoal é aquele que pode identificar ou levar à identificação de alguém, o dado sensível além de identificar um indivíduo, é capaz de promover a sua discriminação. Note que um tratamento com dados pessoais que revele dados sensíveis também está sujeito à proteção especial nos termos da lei.
Vale ressaltar que nesta dinâmica de tratamento de dados pessoais existem três atores fundamentais: o titular e os agentes de tratamento (controlador e o operador).
· Titular: é a pessoa física a quem se referem os dados pessoais.
· Controlador: é a empresa ou pessoa física a quem compete a tomada de decisões em relação a forma e finalidade do tratamento desses dados.
· Operador: é a empresa ou pessoa física que realiza o tratamento dos dados pessoais seguindo as ordens do controlador a partir da escolha dos meios técnicos razoáveis para tanto.
2. Bases Legais para o Tratamento de Dados Pessoais
Com o intuito de garantir que o tratamento de dados pessoais será válido e lícito, a LGPD prevê um rol de hipóteses em que estas operações poderão ocorrer. Estas condições legais, mais conhecidas como “Bases Legais”, abarcam diferentes cenários possíveis para a legitimação das operações de tratamento. É necessário, portanto, que haja uma avaliação por parte dos agentes de tratamento para a identificação da base legal mais pertinente para cada uma de suas operações, sopesando, neste processo, fatores como o grau de segurança da base legal contra questionamentos futuros, o conjunto de medidas acessórias que ela demanda, dentre outros.
Desse modo, de acordo com o artigo 7º da LGPD, os dados pessoais só podem ser tratados:
1. Mediante o fornecimento do consentimento do titular; e para
2. Atender aos interesses legítimos do controlador ou de terceiro;
3. O cumprimento de obrigação legal ou regulatória pelo controlador;
4. A execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular;
5. O exercício regular de direitos em processo judicial, administrativo ou arbitral;
6. A proteção do crédito;
7. A proteção da vida ou da incolumidade física do titular ou de terceiro;
8. A tutela da saúde (apenas por profissionais de saúde, serviços de saúde ou autoridade sanitária);
9. A realização de estudos por órgão de pesquisa; e
10. A execução de políticas públicas (apenas pela Administração Pública).
Vale mencionar, ainda, que o tratamento de dados pessoais será irregular quando não observar a legislação (não se enquadrando em alguma das autorizações acima) ou quando não fornecer a segurança que o titular pode esperar, considerando: (i) o modo pelo qual o tratamento é realizado; (ii) o resultado e os riscos que razoavelmente dele se esperam; e (iii) as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado.
Uma vez que a operação de tratamento não for capaz de se enquadrar mais em alguma das bases legais previstas em lei, o controlador deverá promover o término do tratamento, o que ocorrerá quando: (i) o período do tratamento chegar ao fim; (ii) ocorrer uma manifestação do titular dos dados solicitando o término do tratamento; (iii) houver determinação legal nesse sentido; ou (iv) for verificado que a finalidade que fundamentou o tratamento foi alcançada, ou que os dados pessoais coletados perderam a sua pertinência para a finalidade pretendida.
2.1. Consentimento
O consentimento é a hipótese de autorização direta de tratamento de dados pessoais pelos titulares. Esta base legal é uma forma de expressão da manifestação de vontade do titular pela qual ele concorda com as operações de tratamento com finalidades determinadas que lhe são apresentadas.
Para que o consentimento seja válido, é necessário, por lei, que ele seja manifestado de forma (i) livre, (ii) informada e (iii) inequívoca, seja por escrito ou por qualquer outro meio que o certifique. Nesse sentido:
(i) Livre: o titular deve ser livre para escolher se concorda ou não com o tratamento de seus dados para uma finalidade específica, o que será avaliado à luz do contexto específico em que o titular se insere em relação ao controlador;
(ii) Informado: o titular deve ter acesso facilitado a todas as informações relevantes sobre o tratamento dos seus dados, cabendo ao controlador apresentar (de forma clara, adequada e ostensiva) informações sobre: (a) a finalidade específica da operação, (b) como e por quanto tempo os dados serão tratados, (c) quem são os agentes de tratamento envolvidos e (d) com quem eles compartilharão estes dados, dentre outros.
(iii) Inequívoco: o controlador deve, proativamente, minimizar as chances de o titular ter dúvidas quanto ao tratamento de seus dados, o que se faz a partir da adoção de técnicas como o uso de uma linguagem simples, direta e no idioma do próprio titular.
Desse modo, todas as finalidades do tratamento deverão ser informadas de forma clara, detalhada e em separado, cabendo ao controlador o ônus de comprovar que adotou das ferramentas e estratégias necessárias para garantir que o consentimento foi dado na forma da lei (não sendo necessário, entretanto, qualquer prova da efetiva compreensão dos titulares sobre as informações que fundaram seu consentimento). Com isso, caso as informações fornecidas ao titular tenham conteúdo enganoso ou abusivo ou não tenham sido apresentadas previamente com transparência, de forma clara e inequívoca, o consentimento será considerado nulo, não autorizando, portanto, o tratamento dos dados pessoais.
Vale ressaltar que o titular tem o direito de revogar o consentimento a qualquer tempo, mediante manifestação expressa e por meio de procedimento que deve ser gratuito e facilitado. Nesse cenário, o controlador deverá encerrar qualquer operação de tratamento que fosse exclusivamente fundada no consentimento do titular. Desse modo, ainda que não seja possível continuar a coleta dos dados pessoais sem que haja o consentimento ou outra base legal que o autorize, a utilização dos dados anterior à revogação continua válida, sendo seu armazenamento possível apenas na hipótese de o titular não exigir também a eliminação dos dados ao revogar seu consentimento.
Ainda, caso haja qualquer mudança no tratamento dos dados pessoais que não seja compatível com o consentimento original, seja em relação à finalidade da operação com dados pessoais, à sua forma e duração ou ainda ao controlador e ao compartilhamento destes dados, o controlador deverá informar ao titular, com destaque de forma específica do teor das alterações, podendo o titular, revogar seu consentimento previamente concedido caso discorde da alteração.
2.1.1. Casos específicos
A LGPD prevê hipóteses específicas em que o consentimento demandará maior cautela no que diz respeito à sua obtenção, sendo necessário, portanto, que além de livre, informado e inequívoco, seja manifestado de forma específica e destacada em relação às demais operações. Estas condições adicionais serão necessárias na hipótese em que o consentimento é demandado para fins de tratamento de (i) dados pessoais sensíveis; ou de (ii) dados de crianças; ou, ainda para (iii) autorizar a realização de transferência internacional de dados pessoais.
Em relação ao tratamento de dados pessoais de crianças, algumas peculiaridades se fazem presentes à medida em que estas operações deverão ser realizadas no melhor interesse do menor. Por essa razão, o consentimento específico e em destaque não apenas é a única base legal aplicável para estas operações, como também deverá ser fornecido por pelo menos um dos responsáveis legais da criança. Neste cenário, o controlador deverá ainda manter públicas as informações sobre os tipos de dados coletados, bem como a forma de sua utilização e de exercício dos direitos que a LGPD confere ao titular. A lei ainda impõe aos controladores o dever de requerer o mínimo necessário de informações para a participação de crianças em jogos, aplicações de internet e outras atividades.
2.2. Legítimo Interesse
A base legal do legítimo interesse do controlador será aplicável no contexto em que for necessário fundamentar o tratamento de dados pessoais para finalidades legítimas relacionadas à sua atividade. Esta avaliação, entretanto, depende de um sopesamento entre a necessidade do controlador e a existência de direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais. Desse modo, caso haja a prevalência destas garantias fundamentais, não será possível a adoção do “legítimo interesse” enquanto base legal.
Nesta avaliação, a LGPD estabelece ainda um rol de finalidades que poderiam justificar o interesse legítimo do controlador, sendo necessário associá-las à análise do caso concreto. São elas: (i) apoio e promoção das atividades do controlador; (ii) proteção em relação ao titular do regular exercício dos seus direitos; e (iii) prestação de serviços que beneficiem o titular, desde que respeitadas as suas legítimas expectativas. Ocorrendo o tratamento dos dados pessoais fundamentado no legítimo interesse do controlador, apenas os dados estritamente necessários poderão ser utilizados (em respeito ao princípio da minimização).
Ainda que limitada pelas balizas mencionas acima, a base legal do legítimo interesse de fato confere maior abertura para a autorização de diferentes operações de tratamento. Por essa razão, mesmo sendo necessário que o controlador mantenha o registro de suas operações como um todo, essa exigência se faz ainda mais essencial para aquelas atividades fundadas no legítimo interesse. É possível, inclusive, que a Autoridade Nacional de Proteção de Dados (ANPD) exija a apresentação de um relatório de impacto à proteção de dados pessoais no âmbito destas operações.
Adicionalmente, vale mencionar que o uso do conceito de legítimo interesse enquanto base legal para o tratamento de dados pessoais é usado de forma residual. Nesse processo, é avaliado primeiramente em que medida outras bases legais específicas poderiam fundamentar a legitimidade da operação. Não sendo o caso, e demandando de fato o uso do legítimo interesse, faz-se necessário averiguar tanto (i) em que medida os dados são processados por meios legítimos (a fim apoiar e promover a atividade do responsável pelo tratamento, mas ainda em benefício do titular), quanto (ii) se o processamento está de acordo com as expectativas legítimas dos titulares dos dados (considerando seus direitos e liberdades fundamentais no curso da operação).
2.3. Cumprimento de Obrigação Legal ou Regulatória
O tratamento de dados pessoais também será autorizado quando necessário para que o controlador possa cumprir com suas obrigações legais ou regulatórias à luz do ordenamento jurídico brasileiro. Vale notar que áreas de atuação específicas são dotadas de vastos conjuntos normativos editados pelas autoridades públicas competentes (como a CVM, o BACEN, ou o PROCON) regulando os pormenores do conjunto de obrigações inerentes a esses campos, o que se faz presente, por exemplo naqueles relacionados às relações trabalhistas, de consumo, ao mercado financeiro, ou de seguros.
Essa base legal traz maior segurança para a legitimidade das operações de tratamento uma vez que não envolve a necessidade de uma prévia anuência dos titulares (que pode ou não ser manifestada, como nos casos pautados no consentimento), ou ainda uma avaliação sobre a viabilidade de sua aplicação (como diante das avaliações de sopesamento inerentes à fundamentação do legítimo interesse). Desse modo, a maior clareza e certeza para fundar uma operação de dados de forma legítima de fato virá diante da existência de uma obrigação legal ou regulatória que demande esta operação.
2.4. Execução de Contrato ou de Procedimentos Preliminares
Com o intuito de operacionalizar o tratamento (em especial de acesso e compartilhamento) de dados pessoais contidos ou que venham a constar em contratos privados, a LGPD estipulou também a possibilidade de autorização legal para o tratamento de dados quanto essa atividade for necessária para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular. Desse modo, uma vez verificado que os dados pessoais são instrumentalmente necessários para a celebração de um contrato ou para a execução de seus termos, o controlador de fato estará autorizado a prosseguir com a referida operação.
Para ilustrar este cenário, é possível vislumbrar o uso de dados pessoais para a qualificação de partes (pessoas físicas) em contratos do qual venham a fazer parte. Ainda, sob a ótica de contratos já firmados, é possível que o uso dos dados pessoais seja necessário para a execução do objeto do contrato, como mediante a validação de uma determinada documentação a partir da assinatura de um titular que tenha sido contratado para a supervisão de determinada indústria, função esta que demanda o compartilhamento deste seu dado pessoal em diversos documentos da empresa. Independente do cenário, à medida em que o tratamento de dados se faz necessário para a execução ou formação de um contrato do qual o titular faça ou venha fazer parte, a LGPD de fato prevê a autorização para a continuidade desta operação.
2.5. Exercício Regular de Direitos em Processo
Seguindo a ótica de avaliação dos interesses não apenas dos titulares, mas também do controlador, a LGPD apresenta um cenário específico no campo processual passível de autorização legal para o tratamento de dados pessoais. Nesse sentido, a operação de tratamento de dados será legítima à medida em que for necessária para garantir o exercício regular dos direitos em processo judicial, administrativo ou arbitral.
Ainda que passível de uso em qualquer operação com dados pessoais, a base legal tem aplicação mais recorrente no âmbito de atividades de acesso, compartilhamento e armazenamento de dados pessoais para atender às formalidades inerentes a procedimentos específicos dentro de processos potenciais ou ainda em curso (como para o endereçamento de uma eventual notificação extrajudicial). Em relação a processos potenciais, será possível, portanto, que um agente controlador armazene os dados pessoais de seu cliente (mesmo depois do término da sua relação jurídica) à medida em que tais informações possam ser relevantes para o desenvolvimento de sua eventual defesa, considerando que esta cliente poderá ingressar em juízo contra ele.
Ressalta-se, porém, que este armazenamento não será legitimo se feito por um prazo indeterminado, sendo necessária, com isso, a observância do prazo prescricional limite para a eventual interposição de ação judicial, administrativa ou arbitral contra o controlador. Reconhecendo que passado este período não haverá mais a possibilidade de concretização de qualquer ação, a base legal em questão perde seu fundamento deste momento em diante.
2.6. Proteção ao Crédito
O tratamento de dados pessoais será legítimo também quando necessário para a proteção do crédito, o que deve ser feito considerando a natureza do interesse público com relação ao sistema de crédito. Nesse sentido, esta base é fortemente utilizada não apenas por bureaus especializados para avaliação de riscos de crédito, como também será fundamental enquanto estratégia para a proteção de agentes de tratamento que se depararem com matrizes de avaliação do grau de risco de suas operações de crédito, como no contexto de bancos ou agências seguradoras.
2.7. Proteção da Vida ou da Incolumidade Física
Com foco direcionado para o bem jurídico da vida, a LGPD apresenta como autorização específica para o tratamento de dados pessoais qualquer operação que seja realizada com o intuito de possibilitar que o controlador seja capaz de promover a proteção da vida ou da incolumidade física do titular ou de terceiros. Em muitos casos é provável que o tratamento de dados para este fim envolva inevitavelmente o tratamento de dados pessoais sensíveis (como dados referentes às condições de saúde dos titulares), motivo pelo qual esta base legal é aplicável também para operações envolvendo esta categoria especial de dados.
Em meio à pandemia da COVID-19, por exemplo, a base legal em questão tem sido utilizada com maior recorrência à medida em que diferentes atores da sociedade civil passam a implementar estratégias para o combate ao coronavírus em seus ambientes privados (como em prédios corporativos, indústrias ou estabelecimentos comerciais). Neste cenário, a coleta de dados médicos dos titulares que frequentam estes ambientes passa a ser relevante para o mapeamento dos indivíduos que possam ser potenciais transmissores do vírus, o que é feito com o intuito de limitar a possibilidade de proliferação da doença. Desse modo, a coleta de dados pessoais (sensíveis e não sensíveis) no âmbito da adoção dessas medidas de segurança se mostra relevante para a proteção da vida e da incolumidade física dos terceiros que podem frequentar determinado ambiente, sendo, portanto, legítima esta operação de tratamento.
Vale ressaltar que os princípios da transparência e da necessidade ainda devem ser observados enquanto balizas para que a premissa da proteção à vida não enseje a coleta desnecessária ou abusiva de dados pessoais. Reitera-se, então, a importância de que seja realizado apenas o tratamento do mínimo necessário de dados pessoais para a persecução das finalidades mencionadas.
2.8. Tutela da Saúde
Seguindo a mesma racional da base legal da proteção da vida ou da incolumidade física, a LGPD amplia o escopo desta garantia ao estabelecer que as operações de tratamento de dados pessoais necessárias para a tutela da saúde serão, como um todo, consideradas legítimas. Há, entretanto, uma restrição sobre quais agentes de tratamento podem evocar esta base legal como fundamento para a autorização de suas atividades. Fica definido em lei, portanto, que a referida hipótese será aplicável, exclusivamente, em procedimentos realizados por (i) profissionais de saúde, (ii) serviços de saúde ou (iii) autoridades sanitárias.
Diante da restrição quanto aos agentes de tratamento que podem fazer uso desta base legal, resta claro que os principais controladores nesse contexto são de fato hospitais, planos de saúde e outros agentes da área da saúde. Assim como na base legal usada no âmbito da proteção da vida ou da incolumidade física, a tutela da saúde demanda o provável tratamento de dados pessoais sensíveis (no caso, aqueles referentes às condições de saúde dos titulares), motivo pelo qual esta base legal também é aplicável para operações envolvendo esta categoria especial de dados.
O escopo de operações com estes possíveis dados de saúde, porém, encontra uma série de limitações previstas na LGPD, afunilando aquilo que pode ser feito com estas informações mesmo à luz do princípio da necessidade. Nesse sentido, fica vedada a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obtenção de vantagem econômica, exceto nas hipóteses relativas à prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde (incluídos os serviços auxiliares de diagnose e terapia), desde que em benefício dos interesses dos titulares. Ainda, é vedado às operadoras de planos privados de assistência à saúde o tratamento de dados de saúde para a prática de seleção de riscos na contratação de qualquer modalidade, assim como na contratação e exclusão de beneficiários.
2.9. Realização de Estudos por Órgão de Pesquisa
O tratamento de dados pessoais será autorizado também quando necessário para a realização de estudos, desde que realizados por órgãos de pesquisa. Neste aspecto, a LGPD visa a proteger a produção científica do país, sendo necessário que o órgão de pesquisa esteja enquadrado na definição legal e cumpra apenas atividade de pesquisa.
Em relação aos dados coletados, é válido reiterar que não apenas o órgão deverá se limitar à coleta do mínimo necessário para a persecução da finalidade da pesquisa, como deverá, sempre que possível, promover a anonimização dos dados pessoais coletados (ou seja, sua efetiva despersonalização considerando a utilização dos meios técnicos razoáveis e disponíveis para tanto). Desse modo, à medida em que a identificação dos titulares que participam da pesquisa não é necessária, é recomendado por lei que a própria coleta dos dados seja feita de forma anônima desde a sua origem, trabalhando então com resultados referentes a diferentes grupos de análise e não sobre determinados titulares específicos.
2.10. Execução de Políticas Públicas
O tratamento dos dados pessoais encontra na LGPD uma última hipótese de autorização, que somente será aplicável para operações realizadas pela administração pública cuja finalidade é o tratamento e uso compartilhado de dados necessários para a execução de políticas públicas (previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres). A administração pública, enquanto agente de tratamento, também fica obrigada à observância dos princípios e garantias estipulados na LGPD, devendo com isso limitar suas operações envolvendo dados pessoais ao atendimento de sua finalidade pública e à persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público.
Vale ressaltar que ainda que os dados pessoais tratados pelo Poder Público estejam sujeitos à regulação da LGPD, existem algumas regras que diferenciam seus direitos e obrigações daqueles das entidades privadas. Por exemplo, o consentimento do titular não é necessário para a elaboração e execução de políticas públicas, enquanto é exigido em outras hipóteses. Além disso, em caso de segurança pública, defesa nacional, segurança do Estado e atividades de investigação e repressão de infrações penais, os dados pessoais serão tratados de acordo com lei específica que ainda será promulgada.
2.11. Especificidades dos Dados Pessoais Sensíveis
Conforme exposto anteriormente, dados pessoais sensíveis são uma categoria especial de dados pessoais que demanda maior nível de proteção pela LGPD. Por essa razão, algumas das bases legais acima apresentadas não serão aplicáveis para o tratamento destes dados:
(i) Atendimento aos interesses legítimos do controlador ou de terceiro;
(ii) Execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular; e
(iii) Proteção do crédito.
Em contrapartida, as bases legais comuns para o tratamento de dados pessoais e dados pessoais sensíveis são à luz da LGPD são:
(i) O cumprimento de obrigação legal ou regulatória pelo controlador;
(ii) A proteção da vida ou da incolumidade física do titular ou de terceiro;
(iii) A tutela da saúde (apenas por profissionais de saúde, serviços de saúde ou autoridade sanitária);
(iv)A realização de estudos por órgão de pesquisa; e
(v) A execução de políticas públicas (apenas pela Administração Pública).
Diante deste cenário, ainda, algumas bases legais já previstas para o tratamento de dados pessoais foram complementadas de forma a aumentar seu nível de proteção e, assim, se enquadrar também o tratamento de dados sensíveis:
(i) O consentimento, que deve ser não apenas livre, informado e inequívoco, mas também específico e em destaque; e
(ii) O exercício regular de direitos em processo judicial, administrativo ou arbitral, sendo incluído no âmbito dos dados pessoais sensíveis também a possibilidade de exercício regular de direitos em contratos, o que se apresenta de forma análoga à base legal de execução de contratos (excluindo, entretanto, a autorização para o tratamento no âmbito de procedimentos preliminares ao contrato).
Por fim, os dados pessoais sensíveis podem ser tratados sob o fundamento de uma oitava e última autorização legal, que se apresenta em substituição à possibilidade de tratamento para a proteção do crédito e sob o legítimo interesse do controlador.
Desse modo, será legítima a operação de tratamento quando necessária para a garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, o que se faz possível desde que garantido o acesso facilitado às informações sobre o tratamento de dados. Vale mencionar que, assim como no sopesamento enunciado para fins de avaliação do legítimo interesse, esta base legal não será aplicável no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.
3. Considerações sobre a vigência da LGPD
Depois de uma série de idas e vindas, o cenário normativo brasileiro enfrentou desenvolvimentos legislativos relevantes ao longo do ano de 2020 no que diz respeito à entrada em vigor da LGPD e à definição da estrutura regulatória da Autoridade Nacional de Proteção de Dados. Neste cenário normativo, independentemente da constante revisão do tema no Congresso Nacional com a avaliação das Medidas Provisórias e dos Projetos de Lei a esse respeito, as Disposições Substantivas da LGPD finalmente entraram em vigor em 17 de setembro (enquanto a eficácia de suas Disposições Sancionatórias foi adiada para 1º de agosto de 2021).
Deve-se observar que enquanto as mencionadas “Disposições Substantivas” dizem respeito, entre outras, a questões sobre os princípios de tratamento de dados, bases legais para o tratamento de dados pessoais e direitos dos titulares em questão, as “Disposições Sancionatórias” se referem àquelas relativas às sanções administrativas previstas na LGPD (ou seja, às multas e demais sanções pela violação da LGPD que a ANPD pode aplicar na esfera administrativa, tais como o bloqueio de dados pessoais, a suspensão temporária ou a proibição de atividades de tratamento de dados pessoais).
De todo modo, mesmo com a LGPD plenamente em vigor, deve-se observar que a regulamentação brasileira de proteção de dados ainda está em construção à medida em que resta pendente a regulamentação da ANPD sobre pontos em aberto da LGPD a fim de que a norma se torne plenamente operacional (mitigando então as dúvidas que surgem da implementação de suas disposições nas atividades diárias do mercado). Como resultado, vale ressaltar que a Autoridade, atualmente estruturada e operacional, intensificou esta discussão honrando suas atribuições regulatórias não apenas através da emissão de Diretrizes sobre assuntos mais urgentes (sobre o escopo e estrutura das notificações de incidentes de segurança, por exemplo), como ainda coletando contribuições civis para a futura regulamentação de questões estabelecidas no LGPD.
Para tanto, conforme previsto na Agenda Regulatória da ANPD para o biênio 2021-2022, a Autoridade deverá regular questões relacionadas, por exemplo, aos procedimentos administrativos para a aplicação das Disposições Sancionatórias da LGPD; aos procedimentos e garantias específicas para a proteção de dados e privacidade em pequenas e médias empresas e startups; às atividades do Encarregado pela Proteção de Dados (DPO); à transferência internacional de dados pessoais; entre outros.
Ainda assim, apesar da regulamentação pendente da ANPD e da recente plena entrada em vigor da LGPD, deve-se observar que a incidência e aplicação da LGPD já estão consolidadas como uma realidade na prática jurídica brasileira. O Ministério Público, por exemplo, já investigou e processou ativamente incidentes de segurança envolvendo o vazamento de dados pessoais nos últimos anos, o que foi feito com base em sua competência constitucional para promover ações coletivas em defesa dos interesses coletivos e difusos, especialmente quando a violação envolve consumidores.
Atualmente, até a data de publicação deste material (ou seja, com o LGPD em vigor há menos de um ano), um número significativo de casos de aplicação da norma já se elevou nos tribunais brasileiros. Embora a ANPD ainda não tenha imposto sanções aos agentes de tratamento de dados, as autoridades de defesa do consumidor, tanto na esfera federal quanto estadual, têm aplicado a LGPD iniciando investigações administrativas e impondo sanções com estes fundamentos legais da proteção de dados pessoais. Neste contexto, o atual cenário do contencioso de privacidade no Brasil indica algumas tendências importantes, sendo as principais questões discutidas em nos tribunais com relação a pautas como a forma com a qual o consentimento dos titulares é coletado, o uso que é dado para os dados pessoais públicos, bem como o escopo de responsabilidade dos controladores e operadores envolvidos em incidentes de segurança.
Com este cenário em perspectiva, fica claro que a regulamentação brasileira de proteção de dados pessoais ainda está sendo desenvolvida nos âmbitos legislativo e judicial, como tende a ser especificado nos próximos anos tanto pela ANPD quanto pelos Tribunais a quem compete a interpretação da LGPD nos próximos anos. Embora as dúvidas e incertezas atuais devam ser tratadas no futuro, vale ressaltar que a LGPD já é uma realidade estabelecida na Jurisdição Brasileira como o marco normativo que trouxe maior segurança jurídica ante à esparsa regulamentação de proteção de dados no país. Motivo pelo qual considerar seus parâmetros na definição de estratégias comerciais se configura não apenas enquanto boa prática de negócio como também uma medida de maior segurança para a empresa atuante no Brasil.
Autores: Marcela Waksman Ejnisman, Maria Eugênia Geve M. Lacerda e Miguel Lima Carneiro
TozziniFreire Advogados
Rua Borges Lagoa, 1328 – Vila Mariana – 04038-004 – São Paulo – SP
Tel: (11) 5086-5000
E-mail: [email protected]
www.tozzinifreire.com.br
APLICAÇÃO DA LGDP NO MERCADO SEGURADOR
1. Introdução
A Lei n. 13.709/2018, conhecida como Lei Geral de Proteção de Dados (LGPD) foi criada e aprovada com a finalidade de resguardar os direitos da personalidade, regulando o tratamento de dados pessoais, protegendo a intimidade e liberdade das pessoas e regulamentando a guarda, uso, transferência, processamento e venda de dados de terceiros. A edição da lei ora analisada acompanhou as tendências internacionais, já que em cerca de 120 países já existia uma regulamentação acerca do tema, inspirando-se sobretudo na regulação europeia.
Em suma, pode-se dizer que a LGPD brasileira visa a conciliar o direito fundamental à proteção da privacidade e intimidade com o interesse público e o uso e desenvolvimento da tecnologia aplicada à era da informação. Anteriormente à edição da LGPD, já havia a garantia do direito à privacidade e à intimidade pela Constituição Federal, que claramente sobrepôs tais direitos a eventuais interesses de ordem pública, ao determinar restrições ao acesso de determinadas informações pessoais, atribuindo-lhes sigilo, como informações de ordem financeira, correspondências, conversas telefônicas, dentre outros (art. 5, X, XII). Além disso, a Constituição Federal oferece proteção, ainda que indireta, à intimidade e privacidade, ao dispor expressamente sobre o direito de consulta e retificação dos dados pessoais de caráter público ou registrado em banco de dados de instituições governamentais (art. 5º, LXXII e XXXIII).
No entanto, a edição da LGPD se fez necessária para conceder maior segurança jurídica aos dados pessoais, como expressão informacional da privacidade e intimidade de um indivíduo, e regulamentar especificamente as ações referentes ao seu tratamento, conferindo responsabilidades aos sujeitos por ela abrangidos, desde a coleta dos dados, até o seu armazenamento e utilização, pautando-se nos princípios da finalidade, adequação, transparência e não discriminação. Isso tudo em razão da ampla disseminação de informações, sobretudo por vias digitais, bem como da crescente tendência de roubo de dados, cada vez mais facilitada pelo avanço da tecnologia, e utilização destes dados para fins ilícitos.
2. Aspectos Gerais da LGDP
A LGPD visa a proteger os dados pessoais de indivíduos identificados ou identificáveis, regulamentando seu tratamento, inclusive nos meios digitais, por pessoas físicas ou jurídicas de direito público ou privado.
Extrai-se da lei a criação de sujeitos, diretos e deveres das pessoas envolvidas no trato de informações do titular (detentora dos dados), controlador (pessoa que toma as decisões referente ao tratamento dos dados), operador (pessoa que realiza o tratamento de dados), encarregado (pessoa que figura como canal de comunicação), autoridade nacional (fiscaliza a aplicação da lei) e conselho nacional (pessoas que criam diretrizes técnicas, relatórios, estudos, pareceres).
A partir das definições legais, dispostas no artigo 5º da LGPD, tem-se que os titulares dos dados pessoais objeto de proteção são as pessoas naturais a respeito das quais se refere o dado ao qual se confere tratamento, excluindo-se, portanto, as pessoas jurídicas como titulares de dados pessoais. Por tratamento se entende qualquer operação realizada com dados, abrangendo-se a coleta, recepção, classificação utilização, o acesso, processamento, armazenamento, a reprodução, transmissão, modificação, comunicação, dentre outras, tratando-se de conceito bastante amplo e contemplando os meios digitais e não digitais.
No que tange às obrigações referentes à proteção de dados, verifica-se que a lei diferencia e classifica os sujeitos a quem se destina, de acordo com as suas responsabilidades e atribuições. Dentre os sujeitos expressamente previstos no texto legal, além dos titulares, tem-se: agentes de tratamento, encarregado, Autoridade Nacional de Proteção de Dados e órgãos de pesquisa. Os agentes de tratamento são pessoas físicas ou jurídicas que atuam com tratamento de dados nos termos da lei, e se subclassificam em controlador, responsável pelas decisões referentes aos tratamentos dos dados; e operador, que realiza o tratamento de dados em nome do controlador.
O encarregado é a pessoa natural indicada pelo controlador, que atua na comunicação entre o controlador e titular dos dados, e junto à Autoridade Nacional de Proteção de Dados (ANPD), que é o órgão responsável por zelar, fiscalizar e implementar o cumprimento da LGPD em território nacional. Já o órgão de pesquisa é entidade da administração pública direta ou indireta, ou ainda uma pessoa jurídica sem fins lucrativos, que inclua em seu objetivo social a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico.
A respeito da aplicabilidade e extensão da LGPD, ela será aplicável e exigível aos tratamentos de dados pessoais realizados no Brasil, aos que se destinem a oferta de bens e serviços a indivíduos em território brasileiro, e aos dados coletados no Brasil, ainda que o tratamento se dê no exterior. Deve-se destacar que se excluem do seu alcance o tratamento de dados por pessoas físicas, desde que para uso domésticos e sem finalidade econômica; bem como o tratamento realizado para fins puramente jornalísticos, artísticos, acadêmicos, de segurança pública ou investigações. Ademais, os dados anonimizados não são considerados dados pessoais protegidos pela LGPD e devem ser entendidos como aqueles dados pertencentes a indivíduos não identificáveis, ou seja, dados de quem não é possível aferir a titularidade.
Finalmente, impende salientar que a Lei Geral de Proteção de Dados impõe o consentimento do titular para o tratamento dos seus dados pessoais. Tal consentimento deve ser manifestado livremente pelo titular, na forma expressa do artigo 8º, exceto quanto aos dados tornados públicos pelo próprio titular. O consentimento é dispensado quando o tratamento for indispensável para cumprimento de obrigação legal ou regulatória pelo controlador; tratamento de dados necessário à execução de políticas públicas; realização de estudos por órgão de pesquisa; exercício regular de direitos; proteção da vida de terceiros; tutela de saúde por profissionais do ramo ou autoridade sanitária; garantia de prevenção à fraude e à segurança do titular em processo de identificação e autenticação em sistemas eletrônicos, conforme dispõe o artigo 11.
3. A LGPD no Ramo Securitário
O mercado segurador desempenha relevantíssimo papel na economia, sendo essencial para o desenvolvimento econômico de qualquer região do mundo, garantindo a execução de contratos de construção civil, previdência privada, saúde complementar, financiamento bancário, capitalização, responsabilização civil, ambiental, executivos, resseguros, seguros massificados (automóveis, imobiliário, telefonia, varejo), dentre tantos outros. Desse modo, a LGPD impactará diretamente o mercado segurador, sendo certo que as empresas que participam desse mercado devem investir na adaptação à nova legislação.
No Brasil, o mercado segurador é regulado pela SUSEP (Superintendência de Seguros Privados), que tem por finalidade autorizar, controlar e fiscalizar os agentes que atuam nesse mercado. No caso dos contratos de seguros, o armazenamento de informações para atividades regulamentadas permanece sendo ditado pela SUSEP, conforme regramentos basilares setoriais.
A LGPD afeta diretamente o mercado segurador considerando que as empresas do ramo securitário lidam com dados pessoais dos segurados (pessoas físicas) para diversos fins e deverão se adequar à novel legislação para promover o tratamento dos referidos dados, nos termos definidos pela LGPD. Esses dados são de extrema importância para que as seguradoras prospectem novos clientes, façam análise de mercado para a criação de novos produtos, tracem estratégias de crescimento e expansão, além de medidas empresariais para a manutenção de sua saúde financeira e operabilidade no país.
Além do aspecto empresarial que é comum a qualquer empresa, as companhias seguradoras também se valem de sua base de dados pessoais para melhorar a aferição de risco e precificação de seus produtos, ou seja, empregam os dados pessoais obtidos na oferta de serviços, com finalidade econômica, sujeitando-se às obrigações dispostas na LGPD. Até o advento da nova legislação, havia certa permissividade no compartilhamento de informações entre empresas do ramo para permitir a operabilidade de seus negócios, que recorrem a consulta a base de dados.
Porém, quando a nova lei entra em vigor, se não estiver autorizada de forma expressa pelos seus clientes pessoas físicas, a prática passará a ser vedada. Além disso, todas as empresas deverão indicar um profissional para servir de canal de comunicação entre o público, a instituição que guarda as informações e a autoridade reguladora e fiscalizadora, figura criada pela LGPD.
Ao titular dos dados pessoais, a legislação confere o direito de exigir que as solicitações de tratamento de dados sejam claras e justificadas, contendo informações sobre sua finalidade, forma, duração e controlador, podendo questionar a necessidade de tais informações. O titular também tem o direito de obter a revogação de consentimento de forma facilitada, corrigir ou eliminar dados, obter a anonimização ou bloqueio de dados desnecessários ou excessivos; obter informações sobre compartilhamento dos dados pelo controlador, dentre outros conferidos pela Lei.
Um ponto sensível da nova legislação que impacta as seguradoras é o tratamento de dados considerados “sensíveis” (art. 5º, II, da LGPD), por exemplo os que se referem à saúde do titular do seguro. Esses dados são de extrema importância para a precificação das apólices dos ramos saúde, vida e previdência, e devem ser manipulados com extrema responsabilidade, segundo o texto da LGPD. Segundo a legislação, as empresas deverão adotar medidas de segurança que protejam os dados pessoais de acessos não autorizados, distribuição, alteração, comercialização não autorizada ou perda. Ainda, deve-se observar que a LGPD veda expressamente a utilização de dados pessoais em prejuízo do titular que os forneceu para o exercício regular de seus direitos (art. 21), o que importa na proibição de coleta e manipulação de dados pessoais utilizados pelo beneficiário em processo administrativo ou judicial a fim criar restrições para a prestação de serviço ou agravar as condições de contratação, por exemplo. Da mesma forma, a LGPD veda o tratamento de dados por operadoras de plano de saúde para a prática de seleção de riscos na contratação ou exclusão de beneficiários (art. 11, §5º).
Contudo, importa observar que o texto da LGPD (arts. 7º, II; 11, II, “a”; e 23) permite o envio dos dados pessoais dos beneficiários pelas operadoras de seguro a órgãos reguladores, a fim de cumprir obrigação legal e regulatória. Há, ainda, autorização para a troca de dados pessoais, inclusive os sensíveis e dispensando-se o consentimento, de beneficiários visando à instrução e defesa em processos administrativos e judiciais, bem como para a tutela à saúde em procedimento realizado por profissionais de saúde, serviços de saúde (incluindo-se os relacionados a seguro saúde), ou autoridade sanitária (art. 11, II, “d” e “f”).
Por outro lado, a implementação da LGDP trará novas oportunidades de crescimento ao mercado segurador, considerando o maior foco nas mais recentes modalidades securitárias decorrentes da era da informação, como o chamado “Cyber Seguro”, que já teve sua implementação regulamentada pela SUSEP, com o objetivo de proteger os segurados contra acidentes cibernéticos, vazamento de dados e violação de privacidade e segurança. A apólice dessa modalidade de seguros pode prever a cobertura de prejuízos gerados pela violação da LGPD, tais como custos de defesa, honorários advocatícios e lucros cessantes.
4. Conclusão
Na prática, todas as empresas, incluindo as seguradoras, deverão checar se suas políticas e procedimentos estão de acordo com a LGPD para evitar qualquer tipo de sanção (que vai desde a advertência, até a proibição parcial ou total do exercício de atividades de tratamento de dados). Será necessário, para tanto, alterar seus formulários e propostas de seguro para incluir informações relativas ao tratamento dos dados pessoais de forma expressa, clara e compreensível (art. 9º da LGPD), atentando-se para a necessidade se consentimento expresso do titular, adequando-se então às normas e regulamentações de proteção de dados.
Outrossim, para atender às disposições legais, se mostra imprescindível a criação de meios adequados para atender às solicitações dos titulares de dados pessoais, bem como para a manutenção dos registros das operações de tratamento dos dados. Ainda, será exigida a indicação de um profissional para a função de encarregado, nos termos do art. 41 da LGPD.
Observa-se, ainda, que em muitos casos o tratamento de dados pessoais pelas seguradoras pode se referir a dados sensíveis que, embora dispensados de consentimento prévio em algumas hipóteses, exigem cuidados adicionais de tratamento, evitando-se condutas discriminatórias. Destaque-se que os agentes de tratamento são responsáveis pelos danos causados por tratamento impróprio de dados pessoais, exceto quando ocorridos por culpa exclusiva do titular ou de terceiros.
Assim, a LGPD terá impacto direto nas atividades do mercado segurador, cujos agentes deverão dispor de meios necessários à proteção dos dados pessoais dos beneficiários, provocando imprescindível adaptação. É certo que a necessária adequação das práticas securitárias aos requisitos da LGPD oferecerá novas oportunidades de expansão, por meio de novas modalidades de seguro que visem especificamente ao tratamento de dados e as responsabilidades dele decorrentes.
Autores: Renato Xavier da Silveira RosaJ essica Braga Val, Raphael Semana
Schalch Sociedade de Advogados
Avenida Faria Lima, 4509, Itaim Bibi
CEP: 04538-133 – São Paulo/SP
Tel.: (11) 3889-8996
E-mail: [email protected]
Internet: www.ssaadv.com.br
AGENTES DE TRATAMENTO DE DADOS PESSOAIS
a) Controladores e Operadores
A Lei Geral de Proteção de Dados (“LGPD”) apresenta diferenciação clara entre os papéis dos controladores e operadores no âmbito do tratamento de dados pessoais. Nos termos da legislação, controlador é a pessoa natural ou jurídica a quem competem as decisões sobre os parâmetros do tratamento. Por sua vez, o operador vem a ser a pessoa natural ou jurídica que, em nome do controlador, realiza tal tratamento.
Nesse sentido, verificamos que há subordinação do operador em relação ao controlador: agentes qualificados como operadores devem executar atividades de tratamento de dados pessoais nos limites impostos pelo controlador, ao qual, por sua vez, cabe a decisão final sobre o tratamento.
Em termos práticos, o operador deverá atuar nos limites acordados com o controlador dos dados, que ficará responsável tanto pela verificação de observância das instruções, quanto pelo respeito às normas aplicáveis. Como exemplo da relação operador-controlador, pode-se mencionar empresas contratadas com o objetivo de tratar bancos de dados para fins de orientação assertiva de campanhas de marketing.
De acordo com a LGPD, tanto os controladores quanto os operadores do tratamento devem manter registros das operações por eles realizadas. No caso do controlador, a Agência Natural de Proteção de Dados (“ANPD”) poderá inclusive requisitar a elaboração e entrega de relatório de impacto à proteção de dados pessoais, que deverá conter, ao menos:
(i) Descrição dos tipos de dados coletados,
(ii) Metodologia utilizada para a coleta e para a garantia da segurança das informações; e
(iii) Análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotado.
b) Encarregado pelo tratamento de dados pessoais
A figura do encarregado pelo tratamento de dados pessoais assemelha-se ao conceito de Data Protection Officer (DPO), previsto pela norma europeia de proteção de dados (General Data Protection Regulation – GDPR).
A LGPD é relativamente vaga a respeito dos requisitos associados ao encarregado, relegando à ANPD a regulamentação futura que definirá detalhes específicos a respeito deste agente.
É responsabilidade do controlador a indicação de um encarregado pelo tratamento de dados pessoais, sendo obrigatória a divulgação pública de sua identidade e informações de contato.
A legislação estabelece também quatro funções a serem executadas pelo encarregado:
(i) Aceitação de reclamações e comunicações dos titulares de dados pessoais, bem como prestar esclarecimentos e adotar providências necessárias;
(ii) Recebimento de comunicações da ANPD e adoção de providências;
(iii) Orientação dos funcionários e contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e (iv) Execução das demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
Vale ressaltar que a LGPD determina expressamente que, além de estabelecer normas complementares relativas ao encarregado, a ANPD poderá apresentar definições e atribuições adicionais e hipóteses de dispensa de obrigatoriedade de sua indicação (com base na natureza e porte da entidade ou do volume de operações de tratamento de dados pessoais).
RESPONSABILIDADE CIVIL DOS AGENTES DE TRATAMENTO NA LGPD
a) Panorama Geral
A LGPD tem como seu maior objetivo regular e proteger o tratamento dos dados pessoais da utilização não autorizada. Assim, o legislador, para organizar esta proteção, classificou os dados de diferentes níveis de acordo com o maior ou menor grau de exposição que o dado utilizado de forma indevida pode gerar ao seu titular, bem como criou diferentes critérios para a responsabilização dos agentes ( de acordo com a LGPD, “agentes de tratamento”) que se propõem a utilizar os dados pessoais de terceiros dentro dos estritos limites autorizados.
A LGPD definiu os agentes de tratamento buscando identificá-los de acordo com o seu poder de decisão em relação ao tratamento dos dados pessoais.
Assim, de acordo com a legislação, aquele com poder de mando sobre os dados é o agente de tratamento que possui maior grau de responsabilidade perante titular, respondendo diretamente por qualquer mal uso dado aos dados pessoais. Trata-se do controlador (art 5o, inciso VI). Por sua vez aquele que trabalha com os dados pessoais a mando do controlador recebe e denominação de Operador (art. 5o, inciso VII) e somente responde pelos danos causados na hipótese de ter agido de forma diferente daquela solicitada pelo controlador ou ilegalmente.
b) Responsabilidade dos agentes de tratamento
A LGPD trata do regime de responsabilidade civil e ressarcimento de danos aplicável aos agentes de tratamento que violem a lei nos artigos 42 ao 45.
De acordo com a norma (art. 42), a responsabilidade pelo tratamento de dados é integralmente do controlador, devendo o operador ser responsabilizado de forma solidária em caso de descumprimento da lei ou do descumprimento das instruções lícitas recebidas do controlador.
Será considerado tratamento irregular de dados (art. 44), passível de responsabilização, o tratamento que deixar de observar a LGPD ou ainda que não fornecer a segurança de proteção que o titular poderia esperar, considerando o modo como o tratamento é realizado, os riscos razoáveis que se pode esperar e a técnica de tratamento aplicada época em que o tratamento foi realizado.
Trata-se no caso de responsabilidade civil subjetiva, isto é, há a necessidade de presença do elemento culpa do controlador ou operador para sua caracterização, não bastando apenas a existência do dano para o ressarcimento; exceção feita em situações de relação de consumo, conforme mencionado mais adiante.
Desta forma, descumprida quaisquer das obrigações legais ou contratuais, o controlador responde pela reparação de danos. No entanto, como já mencionado, a LGPD equipara o operador ao controlador, dispondo que o operador responde solidariamente pelos danos causados, quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador.
Ademais, na hipótese de haver mais de um controlador envolvido no tratamento de dados, a responsabilidade dos envolvidos é também solidária, cabendo o direito de regresso entre eles.
Cumpre ainda esclarecer as hipóteses de exclusão da responsabilidade civil dos agentes quando:
(i) os agentes demonstrarem que não são os responsáveis pelo tratamento dados que lhes é atribuído;
(ii) os agentes demonstrarem que realizaram o tratamento de dados sem violação à lei ou ao contrato; ou (iii) o dano decorre de culpa exclusiva do titular dos dados ou de terceiros.
Por fim, deve ser lembrado que as normas aplicáveis a relações de consumo permanecem sujeitas às regras de responsabilidade previstas na legislação pertinente, inclusive em relação a inversão do ônus da prova a favor do titular dos dados e a responsabilização objetiva do agente e tratamento (art. 45).
TRANSFERÊNCIA INTERNACIONAL DE DADOS
a) Panorama Geral
Nas últimas décadas, a disponibilização de dados pessoais por meio de diversos serviços privados e públicos tornou-se uma característica inafastável da era digital. Seja para participação nas redes sociais, para utilização de GPS ou, ainda, para compra de produtos e serviços on-line.
Há tempos a sociedade global vive uma verdadeira revolução nesse aspecto, uma vez que os indivíduos deixaram de ser tão somente consumidores, e passaram a ser fornecedores de informações e dados extremamente valiosos para diversas empresas de diferentes segmentos, sejam elas públicas ou privadas.
Em virtude da globalização econômica, restou evidente que a circulação de informações e dados pessoais em geral ultrapassaria as fronteiras territoriais dos países no mundo. Por este motivo, torna-se tão importante regulamentar as condições para o tratamento dos dados pessoais no âmbito internacional (cross- border data transfer).
O legislador brasileiro se inspirou na legislação europeia de proteção de dados (General Data Protection Regulation – “GDPR”) para editar a Lei Geral de Proteção de Dados Pessoais (“LGPD”), a qual foi publicada em 14 de agosto de 2018.
Anteriormente à LGPD, o Marco Civil da Internet (Lei no 12.965/14) foi o primeiro diploma legal que iniciou a abordagem dos direitos dos usuários no que diz refere à transferência internacional de dados, e apresentava-se como a única lei infraconstitucional que estabelecia dispositivos que tratavam especificamente de dados pessoais nas redes. Veja o que dispõe o artigo 11:
“Art. 11. Em qualquer operação de coleta, armazenamento, guarda e tratamento de registros, de dados pessoais ou de comunicações por provedores de conexão e de aplicações de internet em que pelo menos um desses atos ocorra em território nacional, deverão ser obrigatoriamente respeitados a legislação brasileira e os direitos à privacidade, à proteção dos dados pessoais e ao sigilo das comunicações privadas e dos registros.
§ 1o O disposto no caput aplica-se aos dados coletados em território nacional e ao conteúdo das comunicações, desde que pelo menos um dos terminais esteja localizado no Brasil.
§ 2o O disposto no caput aplica-se mesmo que as atividades sejam realizadas por pessoa jurídica sediada no exterior, desde que oferte serviço ao público brasileiro ou pelo menos uma integrante do mesmo grupo econômico possua estabelecimento no Brasil.
§ 3o Os provedores de conexão e de aplicações de internet deverão prestar, na forma da regulamentação, informações que permitam a verificação quanto ao cumprimento da legislação brasileira referente à coleta, à guarda, ao armazenamento ou ao tratamento de dados, bem como quanto ao respeito à privacidade e ao sigilo de comunicações.
§ 4o Decreto regulamentará o procedimento para apuração de infrações ao disposto neste artigo.”
O Marco Civil da Internet foi a primeira legislação no Brasil no que diz respeito à governança da Internet, pois não havia no país nenhuma legislação específica que tratasse do assunto até então.
b) LGPD: autorização para transferência internacional e regulamentação pela ANPD
A transferência internacional de dados foi abordada na LGPD, especificamente no Capítulo V, artigos 33 ao 36, sendo definida como a situação na qual ocorre a transferência de tais dados para país estrangeiro ou organismo internacional do qual o país seja membro.
De acordo com o artigo 33 da lei, a transferência internacional só será permitida quando:
(i) os países ou organismos destinatários proporcionem grau de proteção de dados pessoais adequado ao previsto na lei;
(ii) o controlador ofereça e comprove garantias do cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos na LGPD (na forma de: (a) cláusulas contratuais específicas para determinada transferência; (b) cláusulas padrão contratuais; (c) normas corporativas globais; e (d) selos, certificados e códigos de conduta regularmente emitidos);
(iii) a transferência for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de direito internacional;
(iv) a transferência for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiro;
(v) a autoridade nacional autorizar a transferência; (vi) a transferência resultar em compromisso assumido em acordo de cooperação internacional;
(vii) a transferência for necessária para a execução de política pública ou atribuição legal do serviço público; (viii) o titular tiver fornecido o seu consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação, distinguindo esta de outras finalidades; ou (ix) necessária para atender obrigação legal ou regulatória pelo controlador.
Em relação à permissão da transferência internacional de dados prevista no inciso I do artigo 33, a LGPD não deixou claro o significado da expressão “adequado aos preceitos da lei brasileira”, delegando tal tarefa à ANDPD por meio de seu artigo 34. O rol do referido artigo é exemplificativo, devendo ser levados em consideração pela Autoridade Nacional, ao realizar a análise do caso concreto aspectos como:
(i) normas gerais e setoriais da legislação em vigor no país de destino ou no
organismo internacional;
(ii) natureza dos dados;
(iii) observância dos princípios gerais de proteção de dados pessoais e direitos
dos titulares previstos na LGPD;
(iv) adoção de medidas de segurança previstas em regulamento;
(v) existência de garantias judiciais e institucionais para o respeito aos direitos
de proteção de dados pessoais; e
(vi) outras circunstâncias específicas relativas às transferências.
Em que pese a relevância da existência de uma autoridade nacional de proteção de dados, não podemos negar que a regulação não se efetiva tão somente por intermédio da normatização, mas também pela iniciativa particular.
Importante destacar também que há grande interesse econômico nos fluxos internacionais de dados, motivo pelo qual a transferência de dados é também objeto de diversos tratados internacionais.
Daí o motivo pelo qual o artigo 35 da LGPD determina que a verificação das cláusulas contratuais para uma determinada transferência, bem como normas corporativas globais, fique a cargo da ANPD, que considerará os requisitos, as condições e as garantias mínimas previstas pela legislação brasileira para viabilização de soluções privadas podendo, inclusive, requerer informações suplementares ou realizar diligências de verificação quanto às operações de tratamento, quando entender necessário.
Adicionalmente, a ANPD poderá designar organismos de certificação, que permanecerão sob sua fiscalização nos termos a serem definidos em regulamento, ressaltando-se que os atos realizados por tais organismos poderão ser revistos pela autoridade nacional e, em caso de desconformidade com a LGPD, poderão ser submetidos a revisão ou anulados. Quaisquer alterações nas garantias apresentadas em observância dos princípios gerais da proteção de dados e dos direitos fundamentais do titular, listados no artigo 33, inciso II da LGPD, deverão ser comunicadas à autoridade nacional.
Apesar de várias similaridades com a GDPR, a estrutura da normatização da LGPD que trata sobre a transferência internacional de dados detém uma diferença relevante em relação à norma europeia. O legislador brasileiro optou por permitir a transferência internacional de dados para cumprimento de obrigação legal ou regulatória pelo controlador, ao contrário do regramento instituído pela GDPR.
Por fim, a transferência internacional de dados no âmbito da LGPD fica restrita ao enquadramento nas hipóteses elencadas no artigo 33 da legislação, destacando-se o rigor e a similaridade entre a legislação brasileira e europeia. Tais elementos reforçam o comprometimento do Brasil com a proteção de dados pessoais e o coloca no caminho de ser reconhecido pela União Europeia e demais organismos internacionais como uma jurisdição com adequado nível de proteção aos dados pessoais.
Autores: Renata Armonia, Bruno Guilhem e Natália Dantas
Fleury, Coimbra & Rhomberg Advogados
Rua do Rocio, 350 – 10º andar – Vila Olímpia
BR-04552-000 São Paulo – SP
Tel (11) 3294 1600
[email protected]
www.fcrlaw.com.br
Adequação à Lei Geral de Proteção de Dados Pessoais (nº 13.709/2018): Medidas Necessárias
Introdução
O crescimento de tecnologias direcionadas ao processamento de dados tem sido uma constante, a exemplo de inteligência artificial, machine learning, realidade virtual, reconhecimento facial, softwares de data mining e internet das coisas (IoT). É de amplo conhecimento o uso de dados pelas empresas como fonte de lucro e aumento de seus ativos.
No contexto dessa Dataconomy e impulsionada pelo “efeito viral” do Regulamento Geral de Proteção de Dados da União Europeia (EU) 2016/679 (adiante referida como “GDPR”), foi aprovada em 2018 a Lei Geral de Proteção de Dados (Lei nº 13.709/2018, doravante “LGPD”), não com o objetivo de proibir o tratamento de informações pessoais, mas para garantir maior transparência aos indivíduos sobre o uso de seus dados por parte de terceiros, assim como promover segurança jurídica às empresas acerca dos critérios e medidas necessárias para a proteção das informações tratadas, de forma a evitar sanções e penalidades inesperadas.
The LGPD is largely aligned with the GDPR and prescribes many similar rules to it, especially with regards to data subjects’ rights, legal principles, some of the basis that allow data processing, extraterritorial application, and other provisions.
A LGPD encontra-se em sintonia com o GDPR e prevê diversas regras similares a este regulamento, em especial quanto aos direitos dos titulares de dados, os princípios legais, algumas das bases que autorizam o processamento, a aplicação extraterritorial, dentre outros aspectos.
Por outro lado, há diferenças entre os regulamentos, e.g., a LGPD prevê quatro bases adicionais que autorizam o tratamento de dados (tutela da saúde, proteção do crédito, para a realização de estudos por órgãos de pesquisa, para o exercício regular de direitos em processo judicial/administrativo/arbitral); o prazo para resposta a pedidos relacionados aos direitos dos titulares é de 15 (quinze) dias – metade do previsto no GDPR – e o conteúdo desse comunicado deve obedecer o exposto no artigo 18 da lei; a LGPD determina a controladores e operadores o dever de indicação do encarregado (Data Protection Officer no GDPR, adiante “DPO”), embora não mencione a sua independência ou as circunstâncias para a indicação, o que deverá ser regulamentado de forma complementar pela Autoridade Nacional de Proteção de Dados (“ANPD”).
A relevância da LGPD imediatamente impactou o judiciário com citações expressas em relevantes decisões, antes mesmo de sua vigência. A exemplo, cite-se importante caso no qual o Supremo Tribunal Federal considerou a garantia à proteção a dados pessoais um direito fundamental constitucional, embora omitido na Constituição Federal, com impacto direto em futuras interpretações sobre o uso de dados pessoais 1.
A adequação à lei é fundamental. Além das possíveis sanções a serem aplicadas pelos tribunais, incidentes de segurança podem ser fatais para as empresas. Estudo conduzido em 2019 pelo Instituto Ponemon 2 a pedido da IBM Security concluiu que no Brasil o custo médio de um incidente de violação de dados atinge US$ 1.35 milhão de dólares. Não se trata apenas de considerável prejuízo financeiro, pois fato é que a conformidade protege evita máculas à imagem da empresa no mercado, que resultaria na perda de clientes e de credibilidade.
Para o correto processamento de dados e mitigação de riscos nas atividades da empresa, deve-se observar os melhores métodos e práticas de compliance, detalhados a serguir:
Programa de Compliance: Conteúdo e Função
Com relação ao procedimento de conformidade, a LGPD determina às empresas a adoção de postura pró-ativa e preventiva – a controladores e operadores – a partir de três pilares:
(i) governança corporativa: tendo em mente o novo princípio de accountability (prestação de contas), a empresa deve implementar medidas técnicas e administrativas para o gerenciamento dos fluxos de informações a partir de uma cultura de privacidade e proteção de dados, a ser adotada de forma holística em sua estrutura. Os princípios de Privacy by design e by default devem ser aplicados desde a concepção de serviços e produtos. As ações relacionadas à governança devem incluir códigos de conduta, organização da infraestrutura, treinamentos, workshops;
(ii) tecnologia e segurança da informação: processos, sistemas e métodos para a segurança da informação tratada em meios físicos e digitais, inclusive medidas técnicas e administrativas para a proteção contra situações acidentais ou ilícitas contra os dados tratados, a exemplo de destruição, exposição não autorizada, acesso indevido, perda ou alteração. Tendo em vista as cláusulas abertas e conceitos indeterminados previstos na LGPD, caberá à ANPD a definição das exatas medidas esperadas para a garantia de confidencialidade, integridade e disponibilidade dos dados processados pelas empresas. Para o programa de conformidade, sugerimos a aplicação das diretrizes presentes nos ISOs/IECs 27001 e 27701, e
(iii) jurídico: análise dos processos, mapeamento de informações, aplicação de bases legais para o tratamento de dados, minimização/exclusão de dados excessivos, adequação de contratos com prestadores, parceiros, contratos intercompany, elaboração de documentos para onboarding, políticas de privacidade e segurança, eventualmente preparar Relatório de Legítimo Interesse (Legitimate Interest Assessment – LIA) e/ou Relatório de Impacto de Proteção de Dados (Data Protection Impact Assessment – DPIA), organização e preparo para resposta a incidentes e comunicação destes aos titulares e à ANPD.
Alguns dos princípios e obrigações a serem adotados para a mitigação de riscos à segurança dos dados encontram-se citados a seguir:
- Privacy by design e by default. Controladores e operadores devem adotar políticas e medidas para o cumprimento a estes princípios. Como bem explicado pelo Information Commissioner’s Office (ICO, a autoridade de proteção de dados do Reino Unido), estes princípios traduzem o dever de incorporação da plena proteção aos dados em todos as atividades de processamento de informações da empresa, assim como em seus processos de negócio, o que deve ser observado desde o design e durante todo o seu ciclo de vida 3. Trata-se de preocupação com a segurança das informações desde a concepção do modelo de negócio, produtos, ou serviços, para minimizar o impacto do tratamento e atuar de forma transparente perante os titulares 4.
- Segurança e sigilo dos dados. Controladores e operadores devem garantir a segurança de softwares e redes, a confidencialidade e integridade dos dados, além da disponibilidade imediata da informação tratada, caso assim solicitado pelos titulares. Adicione-se ser de suma importância o treinamento dos colaboradores de áreas-chave, com acesso rotineiro a dados pessoais, em especial equipes de marketing, jurídico, segurança e tecnologia da informação, financeiro e recursos humanos, com o objetivo de reforçar as políticas e estabelecer uma cultura de privacidade na empresa.
- Accountability. A crescente digitalização das empresas acarreta inevitáveis incidentes de segurança com indevida exposição de dados. Deve-se adotar medidas preventivas eficazes para salvaguardar a integridade e sigilo dos dados, fator indispensável ao cumprimento da obrigação legal de prestação de contas (previsto no artigo 6º, X da LGPD) e à minimização dos riscos de sanções.
- Notificação de Incidente. O controlador deverá comunicar à ANPD e aos titulares de dados sobre incidentes capazes de acarretar risco ou dano relevante a estes. Este aviso deve ser realizado pelo encarregado em prazo razoável e seguir o procedimento previsto no artigo 48 da LGPD. Diversos pontos da lei estão pendentes de regulamentação pela ANPD, inclusive a interpretação de “risco ou dano relevante” do mencionado dispositivo legal.
Programa de Compliance: adequação tailor-made
Não se deve seguir padrões de adequação, afastando-se planos “one size fits all”. O roadmap precisa ser construído de acordo com as reais necessidades, modelo de negócio, prioridades e ambições da empresa. A abordagem deve ser adaptável e flexível de forma a criar estratégias personalizadas e holísticas à empresa.
É possível realizar um programa de conformidade econômico e enxuto. Destaque-se que a nossa lei, ao contrário do GDPR, não é procedimental, mas eminentemente principiológica. Caberá à ANPD elaborar diretrizes claras, detalhadas e específicas.
Acrescente-se que o procedimento não se esgota em si mesmo, tampouco se encerra após o roadmap. Isto se deve tanto a novas regulamentações criadas, como pelo fato de que a empresa é viva e muda constantemente seus negócios, processos de tratamento de dados, colaboradores, desenvolve produtos e serviços e cria diretrizes, portanto deve-se monitorar o trabalho de compliance. A depender do tamanho e estrutura da empresa, sugere-se a designação de um comitê multidisciplinar para conduzir o procedimento, liderar o projeto e tomar decisões de acordo com o modelo e necessidades do negócio.
Embora inexistam diretrizes no Brasil, uma das metodologias internacionais mais indicadas para a adequação consiste no Privacy Impact Assessment (PIA). De acordo com o guia da Comission Nationale de L’Informatique et des Libertés (CNIL, a autoridade de proteção de dados da França), o PIA se baseia em dois pilares (i) princípios e direitos fundamentais não negociáveis, estabelecidos em leis que devem ser respeitados e não podem ser alterados, independentemente da natureza, gravidade, ou avaliação de riscos; e (ii) gerenciamento dos riscos à privacidade dos titulares, os quais determinam as medidas de controle, técnicas e administrativas, à proteção dos dados pessoais 5.
Em resumo, as diretrizes da CNIL prevêem que o compliance no método PIA deve observar os seguintes princípios:
- respeito aos princípios legais de proteção à privacidade (propósito legítimo, específico e explícito; minimização, adequação e relevância dos dados tratados; informação transparente e completa aos titulares; período limitado de retenção; garantia dos direitos de oposição ao tratamento, acesso, correção, exclusão, etc.), para a análise justificada e acurada sobre a relevância dos controles adotados para a adequação da empresa a tais critérios;
- administração dos riscos relacionados à segurança das informações e capazes de gerar impacto à privacidade dos titulares, com o objetivo de adotar todas as precauções quanto à natureza dos dados e riscos do tratamento, preservar a segurança dos dados, em especial evitar a alteração, dano ou acesso não autorizado por terceiros.
Etapas do Procedimento de Compliance
As etapas do roadmap, como explicitado anteriormente, dependerão das reais necessidades e realidade da empresa. Passamos a descrever, a seguir, cada uma das etapas sugeridas para a minimização de riscos.
1. Workshop de Impacto Inicial
A etapa inicial do procedimento de conformidade à LGPD tem o escopo de impactar os colaboradores com um awareness sobre os impactos da lei no negócio, familiarizar os colaboradores com os termos e regras e informá-los sobre o método de trabalho a ser implementado e o papel dos empregados na conformidade. Por meio desses ensinamentos, estabelece-se uma cultura de privacidade imediata e os colaboradores começam a observar com mais cuidado o uso de dados pessoais em suas atividades de rotina.
2. Mapeamento de Dados
O artigo 37 da LGPD determina ao controlador e ao operador a manutenção do registro das operações de tratamento de dados pessoais realizadas, especialmente (mas não apenas) quando baseadas em legítimo interesse. Para cumprir com esta obrigação, esta etapa objetiva identificar os processos de negócio e de tratamento de dados pessoais, os fluxos e ciclos de vida desses dados dentro e fora da empresa (informações acessadas, coletadas usadas, transferidas, armazenadas ou compartilhadas), inclusive as relações comerciais com fornecedores e parceiros e as políticas de privacidade e segurança vigentes. Adicionalmente, realiza-se:
- Elaboração do Registro das Operações de Tratamento (RoPA – Record of Processing Activities) após questionários e entrevistas conduzidas com os principais colaboradores;
- Análise jurídica dos processos de tratamento de dados, inclusive avaliação da possibilidade de cada um deles em vista das bases legais da LGPD assim como a possibilidade e conveniência da manutenção desses dados. Cabe destacar a importância do exame da legitimidade e validade de cada um desses processos em vista dos princípios legais (artigo 6º da LGPD), tempo de armazenamento, categoria dos dados (pessoais ou sensíveis), finalidade, critérios para transferência internacional e compartilhamento, adoção de boas práticas (artigo 50 da LGPD).
- Avaliação dos critérios de segurança da informação nos processos.
- Análise de riscos e levantamento de gaps referentes aos processos.
Trata-se de etapa fundamental ao compliance cujo desenvolvimento poderá ser complex, especialmente tendo em vista a ausência de diretrizes sobre o conteúdo do RoPA, a serem elaboradas pela ANPD.
Em alguns casos específicos de tratamento de dados em larga escala, pode-se realizar o Data Discovery antes do Mapeamento. Para esse trabalho, uma empresa de tecnologia oferece um software a ser acessado a partir dos sistemas da empresa para o levantamento automático dos dados pessoais de suas bases estruturadas e não estruturadas, o que é feito por meio de algoritmos. Esse serviço pode resultar em falsos positivos/negativos e atingir valores consideráveis.
3. Gap Analysis, Risk Assessment, Diagnosis, Reviewing.
Esta etapa consiste em identificar os pontos de atenção relacionados ao compliance com a LGPD, inclusive a análise de gaps e avaliação de riscos (risk assessment) no contexto dos fluxos de dados e respectivos processos de tratamento. Elabora-se o diagnóstico da empresa e aponta-se os documentos e contratos a serem revisados. Além disso:
- analisa-se o impacto da estrutura da organização, a disparidade de processos e avalia-se seus impactos;
- análise de gaps e levantamento de riscos e vulnerabilidades em procedimentos e documentos, como: políticas, governança, regulamentos e regulação incidentes, procedimentos, cláusulas de proteção de dados, contratos, (com clients, parceiros, fornecesdores de serviços e produtos, empregatícios, com terceiros que acessam dados pessoais e sensíveis, intercompany agreements, etc.), gerenciamento de consentimentos, meios adotados para a garantia dos direitos de titulares, práticas de DPIA e aplicação do Privacy by Design, gerenciamento de incidentes inclusive notificação a titulares e ANPD, procedimentos e instrumentos para transferência internacional (capítulo X da LGPD), e
- Desenvolvimento do plano de ação para a implementação das políticas, medidas técnicas e organizacionais de privacidade, proteção de dados e segurança da informação.
4. Elaboração e Implementação.
O conteúdo desta etapa dependerá das fases anteriores. A implementação deve ser planejada e elaborada de forma a contemplar medidas jurídicas, organizacionais e técnicas de acordo com as regras de privacidade e setoriais aplicáveis. A implementação deve priorizar os riscos e seguir uma estratégia direcionada a manter a maior quantidade de dados possível, contanto que a lei seja respeitada. Em geral, incluem-se os seguintes passos:
- Elaboração de contratos e cláusulas de proteção de dados para os documentos e relações jurídicas apontadas anteriormente;
- Elaboração de documentos técnicos, políticas internas de privacidade e segurança e materiais de awareness;
- Se necessário, elaboração de Relatórios de Legítimo Interesse (LIA) e/ou Relatório de Impacto de Proteção de Dados (DPIA);
- Treinamentos de empregados e, eventualmente, de parceiros de negócios;
- Assessorar o cliente para a criação de uma estrutura de governança responsável pela continuidade do projeto e pela implementação da nova cultura, assim como possibilitar um método PDCA (Planning, Doing, Checking, and Acting);
- Definir estruturas para o gerenciamento de consentimentos e cumprimento aos pedidos de titulares no exercício de seus direitos (se aplicáveis), procedimentos para transferência internacional, administração e notificação de incidentes, indicação de DPO (possibilidade de equipe, pessoa física ou jurídica).
5. Monitoramento
Por fim, de tempos em tempos será necessário o monitoramento do compliance para que se observe e mantenha as políticas, métodos e medidas implementadas. Trata-se de etapa importante em decorrência de eventuais modificações em modelos de negócios, processos, contratação de funcionários, desenvolvimento de novos produtos/serviços. O monitoramento poderá englobar:
- Manutenção de inventário de dados e mecanismos de transferência;
- Manutenção de políticas de proteção de dados e privacidade;
- Manutenção de awareness e treinamentos, riscos de segurança da informação, riscos de terceiros e alertas/notificações;
- Monitoramento de novas práticas operacionais;
- Programa de gerenciamento sobre perda de dados;
- Monitoramento de regulamentos elaborados pelas autoridades, e
- Garantia de respostas corretas a incidentes de segurança e de privacidade.
Frise-se ser de extrema relevância o monitoramento vez que as regras e critérios de privacidade e proteção de dados nacionais, além de novas, estão constantemente evoluindo. Ademais, relembre-se que cabe à ANPD a criação de diretrizes e interpretação da norma.
Conforme explicitado neste texto, o procedimento de adequação visa a gerar engajamento na empresa no sentido de implementar uma cultura de proteção a dados e segurança das informações para a manutenção das práticas e políticas adotadas no curso do roadmap. Consequentemente, torna-se vital que a empresa contrate especialistas competentes com larga experiência dispostos a atuar diante dos obstáculos previstos, principalmente porque a interpretação da LGPD encontra-se pendente de análise por parte das autoridades.
1 – ADI 6387, ADI 6388, ADI 6389, ADI 6390, ADI 6393 – Supremo Tribunal Federal, data de julgamento: 07/05/2020.
4 – The European Data Protection Board (EDPB) has issued the guidelines 4/2019 on the obligation of Data Protection by Design and by Default. <https://edpb.europa.eu/sites/edpb/files/consultation/edpb_guidelines_201904_dataprotection_by_design_and_by_default.pdf>.
5- PIA, Methodology. Privacy Impact Assessment (PIA). Methodology (how to carry out a PIA). CNIL, June 2015 Ed.
Autoras: Clarissa Luz e Júlia Ribeiro (Felsberg Advogados)
Felsberg e Pedretti Advogados e Consultores Legais
Av. Cidade Jardim, 803 – 5º andar
Jd. Paulistano
BR-01453-000 São Paulo – SP
Tel (11) 3141 3620 / (11) 3141 9185
Fax (11) 3141 9150
[email protected]
www.felsberg.com.br
BOAS PRÁTICAS E GOVERNANÇA CORPORATIVA NA LGPD
atualizado em 04/04/2022
1. Introdução
Ao sancionar, em agosto de 2018, a Lei nº 13.709/2018, mais conhecida como Lei Geral de Proteção de Dados (“LGPD”), o Brasil deu um importante passo no sentido de estabelecer regras especiais voltadas à proteção de dados pessoais.
Declaradamente inspirado no regulamento europeu de proteção de dados pessoais, o General Data Protection Regulation (“GDPR”), a LGPD veio para assegurar no Brasil a mudança cultural que vem sendo exigida mundialmente nas operações de tratamento de dados pessoais.
Como consequência da evolução tecnológica, com negócios sendo captados e concretizados com base em dados pessoais, esses dados tornaram-se um verdadeiro ativo com alto valor econômico agregado, o que acarretou a crescente e indiscriminada prática de transação de dados pessoais.
De modo a regular essa prática e eventuais danos que esta ocasiona aos titulares desses dados, passaram a ser editadas, globalmente, leis específicas para proteção dos direitos dos cidadãos, dentre eles o direito à privacidade e dos próprios dados pessoais, proteção essa que atualmente configura um requisito exigido por inúmeros países para a celebração de negócios com outras jurisdições.
Assim, os países que não possuem uma lei específica para tutelar os dados pessoais podem ter o seu desenvolvimento econômico afetado, na medida em que isso implica em perda de oportunidades. Além disso, ainda que o país esteja devidamente regulamentado, as empresas somente conseguem manterem-se competitivamente ativas se conseguirem comprovar a efetiva observância das previsões legais.
Para se adequarem às regras estabelecidas pela nova lei e garantir que estejam em conformidade com a LGPD, as empresas precisarão criar procedimentos operacionais que sejam aplicáveis às suas rotinas diárias, assim como ocorreu com os programas de compliance, que inicialmente visavam atender às determinações das Leis Anticorrupção e de Prevenção à Lavagem de Dinheiro.
Vale lembrar que o termo compliance vem do verbo em inglês “to comply” que nada mais é do que agir de acordo com determinada regra. Portanto, embora os programas de compliance tenham sido muito disseminados no Brasil com base nos regramentos anteriormente mencionados, a LGPD certamente trouxe uma evidente necessidade de que as empresas tenham programas estruturados voltados para o cumprimento das regras de proteção de dados.
Na mesma linha do princípio de responsabilidade trazido pela GDPR, a LGPD reafirma as responsabilidades dos agentes responsáveis pelo tratamento dos dados pessoais (controlador¹ e operador²) e, em contrapartida, exige de tais agentes a comprovação de que os tratamentos dos dados pessoais são realizados em conformidade com os princípios e bases legais.
Portanto, justamente por conta dessa assunção de responsabilidade quanto ao tratamento dos dados pessoais é que as empresas deverão incorporar às suas rotinas e operações diárias, a seriedade com o cuidado no tratamento dos dados pessoais, de modo a assegurar aos seus titulares a segurança legalmente exigida.
É com enfoque nas boas práticas e na governança, representadas em um bom programa de compliance, que o presente artigo busca expor os pontos a serem observados pelas empresas para fins de adequação à LGPD.
2. Boas Práticas e Governança
É fato que a nossa atual realidade conferiu mais relevância à proteção dos dados pessoais e passou a exigir a existência de um tratamento seguro e adequado dos dados, no lugar do antigo (embora ainda atual, na prática e em processo de mudança cultural) conhecimento precário dos titulares em relação aos seus direitos e às práticas relativas ao tratamento de seus dados pessoais.
Neste novo cenário protecionista do titular dos dados pessoais, o tratamento desses dados requer cuidados específicos, razão pela qual a implementação de programas de governança em privacidade e proteção de dados pessoais passam a ser essenciais para qualquer empresa que deseje estar adequada a legislação brasileira, isso sem falar de uma condição diferenciada no mercado.
Por essa razão é que as partes interessadas da empresa, os chamados “stakeholders”, devem ter uma preocupação direcionada para este tema, sendo responsáveis por liderar as iniciativas para sua implementação e fazer com que a estrutura de boas práticas para proteção dos dados pessoais seja seguida por todos os colaborados e terceiros a esta relacionados.
2.1 Previsão na LGPD
É justamente com enfoque nas medidas de boas práticas e de governança que a LGPD, em seu artigo 50, estabelece que os controladores e operadores, de acordo com suas competências em relação ao tratamento de dados pessoais, poderão formular regras de boas práticas e de governança que definam:
“(…) as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.”
Como visto, a lei faculta aos agentes de tratamento a formulação de regras de boas práticas e de governança, apresentando uma série de medidas a serem observadas para a definição dos procedimentos que visam garantir a efetividade do programa de conformidade, ou seja, da correta e adequada tutela dos dados pessoais nas atividades que exijam seu tratamento.
Para que isso seja atingido, as empresas precisarão definir internamente um conjunto de ações, levando em consideração, em relação ao tratamento e aos dados, a natureza, o escopo, a finalidade, a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular ³.
Inclusive, vale observar que dentre os princípios que a LGPD impõe para o tratamento dos dados pessoais, dois são aplicáveis para as boas práticas de governança, quais sejam, o princípio da segurança e o da prevenção.
O princípio da segurança é definido na LGPD (Art. 6°, VII) como sendo a “utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão”.
O princípio da prevenção, por sua vez, é descrito na LGPD (Art. 6°, VIII) como a “adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais”.
Para a aplicação desses princípios, a LGPD estabelece4 que o controlador, considerando a estrutura, a escala e o volume de suas operações, bem como a sensibilidade dos dados tratados, a probabilidade e a gravidade dos possíveis danos para os titulares dos dados, poderá implementar programa de governança em privacidade que, no mínimo:
“a) demonstre o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais;
b) seja aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo como se realizou sua coleta;
c) seja adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados;
d) estabeleça políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade;
e) tenha o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular;
f) esteja integrado a sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos;
g) conte com planos de resposta a incidentes e remediação; e
h) seja atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas;”5
Na prática, é possível verificar que parte dos requisitos mínimos dispostos na LGPD, ressalvadas aquelas previsões específicas sobre dados pessoais, já são observados nos tradicionais programas de compliance. Isso porque esses programas também possuem como foco registar e possibilitar a conferência de todas as medidas adotadas pela instituição no sentido de demonstrar a efetividade do programa e, consequentemente, do comprometimento em estar em conformidade com a lei.
Neste sentido, parece-nos que a criação e/ou atualização das Políticas Internas da empresa seja essencial de forma a acrescentar e/ou adequar as regras e procedimentos voltados para a proteção de dados, sendo essencial o treinamento e atualização de todos os colaboradores, sejam eles do corpo técnico, gerencial, terceiros, entre outros.
Assim, excetuadas as novas exigências técnicas relacionadas ao tema de proteção de dados pessoais, as regras de boas práticas e governança a serem definidas não fogem das características usualmente verificadas nos convencionais programas de compliance.
Neste âmbito, vale destacar que a estruturação dos programas de compliance deve ainda considerar as orientações fornecidas pela Autoridade Nacional de Proteção de Dados (ANPD), órgão federal instituído pelo artigo 55-A e seguintes da Lei Geral de Proteção de Dados.
Conforme previsto em Lei, a autoridade possui duas competências. A primeira delas é fiscalizar os entes regulados e irá editar uma série de recomendações às empresas, através de guias orientativos e regulamentações, que irão nortear os programas de governança e compliance das companhias.
A segunda competência do órgão será conduzir o procedimento administrativo sancionatório, contra as empresas que violarem a proteção de dados pessoais. As multas que poderão ser aplicadas estão previstas no artigo 52 da Lei Geral de Proteção de Dados e são da seguinte ordem:
(i) advertência, com indicação para de prazo para adoção de medidas corretivas;
(ii) multa simples, de até 2% do faturamento de pessoa jurídica de direito privado ou conglomerado no Brasil, no seu ultimo exercício, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais), por infração;
(iii) multa diária;
(iv) publicização da infração após devidamente apurada e confirmada;
(v) bloqueio de dados pessoais a que se refere a infração até a sua regularização;
(vi) eliminação dos dados pessoais a que se refere a infração;
(vii) suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período de no máximo 6 (Seis) meses, prorrogáveis por igual período;
(viii) proibição parcial ou total do exercício de atividades relacionada a tratamento de dados.
Na análise para aplicação da sanção administrativa, a Lei Geral de Proteção de Dados prevê que a autoridade deve considerar, entre outros fatores, a adoção de boas práticas de governança para proteção de dados pela empresa, bem como de mecanismos que possam evitar ou reduzir os danos ao titular de dados pessoais, em um eventual incidente com dados pessoais.
2.2 Bases Fundamentais
O apoio da alta administração na implementação desses programas em todos os departamentos da empresa é crucial para o seu sucesso, não somente assegurando os recursos necessários para sua execução, mas também por meio da adoção de postura de comprometimento e apoio declarado.
Esse suporte é essencial para a criação de uma cultura corporativa que preze pelo respeito às novas regras de proteção dos dados pessoais, razão pela qual é necessária a compreensão, em todos os níveis da empresa, de que a titularidade e o controle sobre os dados pessoais pertencem exclusivamente aos próprios titulares, a quem deve ser garantida total transparência e participação na tomada de decisões.
Apenas com o entendimento desta nova cultura é que as novas regras de governança e compliance poderão, de acordo com os requisitos legais e a relevância da proteção dos dados pessoais, fazer parte integrante de todos esses processos para o atingimento do nível de proteção de dados adequado.
No entanto, para que isso ocorra, é imprescindível que as empresas conheçam todos os dados pessoais tratados por seus departamentos, bem como o seu ciclo de vida, que deverá contemplar todas as etapas de tratamento, desde a coleta, passando pela transferência/compartilhamento, até a sua eliminação.
Para a base de um programa de governança eficaz, é essencial a definição de políticas claras, que deverão ser criadas e implantadas para atingir todos os departamentos e, consequentemente, da realização de treinamentos a todos os colaboradores, para disseminar as novas práticas a serem adotadas e esclarecer eventuais dúvidas.
Em complemento, para garantir sua eficácia, é necessária uma avaliação contínua dos riscos, com adoção de medidas preventivas de controle e revisão regular das políticas para atualização conforme necessário, até mesmo porque a própria LGPD, em seu artigo 50, §3º, estabelece a obrigação de publicação e atualização periódica das regras de boas práticas e de governança.
Realizados todos esses procedimentos, é primordial a criação de um canal de comunicação seguro e confiável para garantir que participação dos colaboradores, seja para solicitar esclarecimentos ou, ainda, para promover denúncias. Trata-se de um mecanismo que possibilita monitorar comportamentos e prevenir o cometimento de atos ilícitos, o que permite a adoção das medidas preventivas necessárias. Para empresas que já possuem programas de compliance implementados, não há necessidade de criação de um novo canal, mas apenas a adaptação do canal de denúncias já existente, de modo a direcionar eventuais acusações aos profissionais corretos.
Para possibilitar o alcance do principal objetivo do programa de compliance, que é a prevenção de ilícitos, é indispensável um monitoramento contínuo para verificar se os destinatários, sejam eles internos ou externos, estão cumprindo as normas e regras estabelecidas no programa, bem como promover eventuais adequações a estas normas e regras.
2.3 Comprovação da Efetividade
Além da implementação do programa de governança em privacidade, a LGPD também dispõe sobre a efetividade do programa de privacidade, o que pode ser feito em razão de requerimento por parte da autoridade nacional ou qualquer outra entidade responsável por promover o cumprimento de boas práticas e da lei.
Vale ressaltar que bons programas de compliance tem por base a correta identificação dos riscos existentes, relacionados à atividade do agente que realiza o tratamento, e implementação dos procedimentos que a eles respondam de forma adequada e proporcional. A existência de regras escritas não é suficiente, é necessário que a empresa seja capaz de comprovar o cumprimento destas regras.
De maneira resumida, a comprovação da efetividade requer a reavaliação periódica dos riscos e implementação das adaptações necessárias. Aliado a tais medidas, deve existir um comprometimento por parte da alta administração, na atuação eficiente para identificar e agir para minimizar os riscos verificados, bem como a inserção e disponibilização de maios eficientes de comunicação, tanto internamente quanto externamente.
3. Estruturação do Programa de Proteção de Dados
Com o entendimento da importância das boas práticas em governança corporativa para a estruturação de um Programa de Proteção de Dados, é necessário começar a percorrer um longo caminho de construção que passará por algumas etapas até que possamos, de fato, ter uma política adequada à nova realidade corporativa no ecossistema de fluxo de dados pessoais.
Chamamos de “framework” de implantação o agrupamento dessas fases em processos centrais que devem ser observados de maneira sequenciada. Importante salientar, que o primeiro grande passo de toda estruturação é justamente estabelecer quais as bases do próprio framework, isto é, qual é o fluxo de processos que deverá ser seguido.
Neste caso, os processos essenciais de qualquer framework padrão são: (i) data mapping; (ii) risk assessment; (iii) criação de políticas; (iv) capacitação de stakeholders; (v) gerenciamento de dados; (vi) controles internos; e (vii) conformidade.
3.1 Data Mapping e Risk Assessment
O mapeamento dos dados (Data Mapping) e a análise de riscos (Risk Assessment) são fundamentais para a construção de um alicerce sólido para o framework e fazem parte de um diagnóstico que norteará as próximas etapas de cada processo.
O data mapping tem a função de identificar quais são os dados pessoais tratados e por quais áreas que estes trafegam dentro do ambiente da empresa, seja este ambiente físico ou virtual. Caberá ao controlador de dados a análise do ciclo de vida dessas informações, a gestão do consentimento de seus titulares, o gerenciamento de como os dados são tratados na empresa, armazenamento, potencial portabilidade e eliminação desses dados.
Feito este mapeamento, é fundamental entender quais são os riscos envolvidos e inerentes a todo esse fluxo de dados, desde o momento da sua coleta, até sua eliminação. Neste momento, após o data mapping, há uma série de questionamentos que podem ser feitos para identificar os riscos envolvidos no tratamento desses dados (“risk assessment”).
Os questionamentos devem ter como alvo a identificação e endereçamento dos seguintes aspectos quanto à coleta e manutenção de dados pessoais: (i) natureza dos dados; (ii) necessidade da coleta; (iii) forma de tratamento; (iv) embasamento legal; (v) armazenamento; (vi) acesso dos dados; (vii) segurança; (viii) compartilhamento; e (ix) registo dos dados coletados.
3.2 Políticas e Controles Internos
Após o mapeamento e avaliação, incluindo o enfrentamento do questionário, já é possível construir uma política customizada para as necessidades da empresa, abrangendo, inclusive, as peculiaridades de cada segmento em consonância com o Framework adotado.
Os chamados Controles Internos, representam o regimento que irá prever as normas para avaliação do cumprimento das políticas, incluindo as auditorias internas, periodicidade de avaliações e treinamentos.
3.3 Capacitação de Stakeholders
Os treinamentos periódicos com a finalidade de conscientizar funcionários e terceiros ligados à empresa são fundamentais para que se possa alcançar um patamar aceitável de conformidade com a LGPD. Importante salientar que é altamente recomendado que esses treinamentos sejam registrados, e transmitidos com recorrência e reciclagem, como forma de sempre manter todos os colaboradores atualizados e conscientes da política corporativa de proteção de dados.
3.4 Gerenciamento de Dados e Conformidade
A coleta e tratamento de dados deve ser uma atribuição restrita dentro do ambiente corporativo. É crucial que todos os procedimentos previstos na Lei e do Framework sejam estritamente observados nesse estágio.
Nesse ponto, poucos stakeholders devem ter a permissão e alcance para gerenciar os dados que trafegam na rede da empresa, sejam o tráfego físico ou o virtual de informações.
Tendo uma política de coleta e tratamento de dados já em funcionamento, é elementar manter mecanismos de gerenciamento do consentimento dos titulares das informações e do ciclo de vida dos dados, ou seja, por quanto tempo esses dois fatores permanecem válidos, vigentes e legítimos. Os critérios desse consentimento devem ser levantados quando do estabelecimento da Framework, o qual, ao menos nesse aspecto, deve ser revisitado de tempos em tempos, vez que as autoridades podem instituir/alterar práticas específicas para determinados mercados.
3.4 Conscientização de Fornecedores e Revisão de Contratos.
Infelizmente não basta que o programa esteja funcionando plenamente apenas dentro da empresa, é necessário que os parceiros comerciais também passem por um protocolo de conscientização e estejam alinhados com as políticas da empresa.
Para tanto, idealmente recomenda-se a revisão do minutário contratual com inserção de cláusulas que contemplem as novas disposições da LGPD, e em contratos já vigentes que assegurem de forma globalizada a observância das disposições contidas na Lei.
Além das revisões contratuais, como forma de otimizar a adequação e estruturação do programa, bem como de mitigar os riscos de não conformidade, uma alternativa muito conveniente, é estender os treinamentos de proteção de dados aos principais parceiros comerciais.
Conclusão:
De modo geral, as boas práticas de governança corporativa representam um pilar primordial de qualquer implementação de programa de proteção de dados. Não apenas porque a Lei faz menção expressa à necessidade de tal elemento, mas também porque são nessas práticas que as empresas conseguirão materializar sua diligência, e boa fé na observância das Leis.
Considerando que estamos diante de um cenário de incertezas, em que não há como precisar quais serão os verdadeiros reflexos da vigência da nova Lei de Proteção Geral de Dados a médio e longo prazo da lei, a consistência de políticas internas e uma boa governança corporativa serão fundamentais para que as empresas alcancem um patamar segura em proteção de dados.
Referências:
Cadernos de Direito Empresarial, 15ª Vol, 2020, Gaia Silva e Gaede Advogados.
1 – A figura do controlador é definida na LGPD como a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais (Art. 5°, VI).
2 – A figura do operador é definida na LGPD como a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador (Art. 5°, VII).
3 – Conforme estabelece o § 1º do artigo 50 da LGPD.
4 – Conforme o §2º do artigo 50 da LGPD.
5 – Conforme o §2º, item I, do artigo 50 da LGPD.
Autores:
Juliana Joppert Lopes
Senior Manager da área de Consultoria Empresarial do escritório da Gaia, Silva, Gaede & Associados – Sociedade de Advogados em Curitiba
Mestre em International Business Law pela The London College – UCK
Pós-graduada em Gestão Contábil pela Faculdade de Administração e Economia – FAE
Especialista em Direito Empresarial pela Academia Brasileira de Direito Constitucional – ABDCONST
Advogada graduada pelo Centro Universitário Curitiba – UniCuritiba
Jennifer Mayumi Mori
Advogada Sênior da área de Consultoria Empresarial do escritório da Gaia, Silva, Gaede & Associados – Sociedade de Advogados em Curitiba
Pós-graduada em Processo Civil pelo Instituto de Direito Romeu Felipe Bacellar
Especialista em Direito Empresarial Aplicado – LLM pelas Faculdades da Indústria – Sistema FIEP
Advogada graduada pelo Centro Universitário Curitiba – UniCuritiba
Vanessa Cristina Santiago Giugliano
Sócia da área de Direito Corporativo do Gaia Silva Gaede & Associados em São Paulo
Mestranda em Direito dos Negócios pela Fundação Getúlio Vargas – FGV/SP
Especialista em Direito Societário pela Fundação Getúlio Vargas – FGV/SP
Pós-graduada em Processo Civil pela Pontifícia Universidade Católica de São Paulo – PUC/SP
Graduada em Direito pela Pontifícia Universidade Católica de São Paulo – PUC/SP.
Marina Martinez Prazeres Sant’Anna
Advogada Sênior na área de Direito Corporativo do Gaia Silva Gaede & Associados em São Paulo
Pós-graduada em Direito Empresarial pelo Instituto de Ensino e Pesquisa – INSPER
Graduada em Direito pelo IBMEC-Damásio
Gaia Silva Gaede Advogados
Rua da Quitanda, 126
BR-01012-010 São Paulo – SP
Tel (11) 3797 7400