A publicação da Lei Geral de Proteção de Dados LGPD (Lei federal nº13.709, sancionada em 14/08/2018) e a Medida Provisória nº 869/2018 que criou a Autoridade Nacional de Proteção de Dados (ANPD), integraram o Brasil ao grupo de países com legislação específica sobre proteção de dados pessoais. Mesmo havendo divergências quanto ao período de vacância, a Lei deve entrar em vigor em 16/08/2020, com exceção dos artigos que criaram a ANPD.
De acordo com o Senador Ricardo Ferraço (PSDB-ES), “os dados pessoais passam a ser um insumo principal da atividade econômica em todos os setores possíveis da sociedade”, e este instrumento legal fortalece a privacidade dos consumidores.
Em termos globais, há duas visões sobre o tratamento de dados pessoais, a da União Europeia (conservadora) e a Americana (liberal). Porém, a lei europeia, chamada General Data Protection Regulation (GDPR) provocou um maior impacto em sua aplicação, já que abrange não apenas as empresas europeias, mas todas aquelas que tratam dados pessoais de indivíduos que se encontram no território europeu, ou que ofereçam serviços a sua população, no momento da coleta.
Além do que, as empresas europeias ficaram impedidas de contratar empresas em países que não dispunham do nível de proteção adequado, o que, até a promulgação da LGPD, incluía o Brasil.
Este não foi o único motivo a acelerar a legislação brasileira, que observou também o caso da Cambridge Analytica, acusada de mudar os rumos das eleições dos EUA, por meio de tratamento indevido de dados pessoais.
Por fim, o Brasil já é conhecido como um país com muita burocracia, difícil sistema tributário, corrupção, entre outras barreiras e, não podia ficar ainda mais fragilizado pela falta de confiança jurídica quanto a proteção de dados.
Assim, nasceu a LGPD, após leis esparsas que tratavam alguns aspectos das relações jurídicas envolvendo dados pessoais, tais como:
- Declaração Universal de Direitos Humanos adotada pela ONU (Art.12);
- Constituição Federal do Brasil de 1988 (Art.5º, X);
- Código de Defesa do Consumidor (Lei nº8.078/90, Art.43);
- Lei de Crimes de Invasão de dispositivos informáticos (Lei nº12.737/12);
- Regulamento do Comércio Eletrônico (Decreto nº7.962/13),
- Marco Civil da Internet (MCI Lei nº12.965/14) e decreto regulamentador (nº8.777/16).
Vale frisar que muitas são as semelhanças de definições trazidas pela LGPD e MCI, inclusive no que concerne aos princípios estabelecidos pela Privacy by Design (atribuída à Ann Cavoukian, ex Comissária Canadense da Secretaria de Informação e Privacidade), que aborda a proteção da privacidade já na criação ou desenvolvimento de um sistema ou processo, através do consentimento expresso na coleta de informações.
O próprio Decreto que regulamenta o MCI, aproxima a legislação brasileira da Privacy by Design, na medida em que estabelece padrões de segurança e sigilo dos registros, dados pessoais e comunicações privadas.
Também é reforçada a importância da segurança dos dados e o respeito à privacidade dos usuários, por meio da adoção de medidas de Tecnologia da Informação e de práticas de negócios adequadas, além de estabelecer a necessidade da criação de infraestrutura condizente com a preservação da privacidade dos usuários.
Importante frisar que a definição de dados pessoais trazida pela LGPD é expansionista e caracteriza como dados pessoais, não só o nome, CPF, imagem, etc, mas também, os dados que tornam a pessoa identificável num grupo, de forma não imediata ou direta, por exemplo: num pequeno grupo de pessoas pode-se identificar alguém dando características como, cor da pele, gênero, aspectos físicos, etc., ou seja, por estas características a pessoa não estava identificada, mas era identificável.
É fundamental entender quais direitos a LGPD assegura. Nesta senda, ter clara a definição legal de dados pessoais é questão de ordem.
Cumpre saber ainda, que esta lei se destina a proteger as pessoas naturais (seres humanos – pessoas físicas), porém traz o dever de obediência em tratar os dados pessoais de maneira legal, tanto pelas pessoas físicas, como pelas jurídicas (de direito público e privado. Porém excluiu de sua abrangência, aqueles que tratam dados para fins meramente particulares e não econômicos, fins jornalísticos, artísticos, acadêmicos e todo aquele realizado para fins exclusivamente de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais, entre outros.
A LGPD traz imprescindíveis definições em seu Art.5º, dentre elas:
- Controlador de dados – quem decide sobre o tratamento dos dados pessoais (inc.VI);
- Operador de dados – quem realiza o referido tratamento (inc.VII);
- Encarregado – atua como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (inc.VIII), além de outros.
- Tratamento de dados pessoais e sensíveis – Toda a operação realizada, como por exemplo: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. (inc.X),
- A lei concede ao titular dos dados pessoais, o direito de acesso, a retificação, exclusão, bloqueio e eliminação de dados desnecessários ou excessivos da base de dados. Também será concedido o direito a portabilidade de dados, a facilitação dos direitos em juízo, o direito de petição direto ao titular dos dados pessoais à Autoridade Nacional de Proteção de Dados.
No que tange ao ônus da prova, enquanto a regra geral do Processo Civil Brasileiro é a de que a apresentação de prova cumpre ao que alega, no Código de Defesa do Consumidor há a inversão do ônus da prova, cabendo ao acusado em face da hipossuficiência do autor), na LGPD poderá, e apenas poderá ser invertido o ônus da prova, quando o magistrado entender verossímil a alegação do autor.
Além das definições, a LGPD disciplina toda a operação de tratamento dos dados (em consonância ao Estatuto da criança e do adolescente), bem como a fiscalização, responsabilidades, ressarcimento de danos, segurança e boas práticas, disciplina ainda as sanções administrativas que podem chegar a multa simples de até R$50.000.000,00 (cinquenta milhões de reais) por infração, dentre outras, em especial os danos à imagem e reputação, o que pode ter valor inestimável.
Frisamos ainda que a Medida Provisória nº 869/2018, criou a Autoridade Nacional de Proteção de Danos, a quem confere competências no Art. Art. 55-J, e ainda criou o Conselho Nacional de Proteção de Dados, a quem confere competências no Art. 58- B.
Existe uma nova concepção de privacidade e de proteção de dados e um dos impactos a ser observado será a coleta e tratamento de menor quantidade de dados (apenas os necessários), o que levará as empresas a manter a reduzir gastos com bancos de dados e segurança da informação.
O próprio Banco Central do Brasil, através da Resolução nº 4.658/2018, regulamenta a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem para instituições financeiras, determina que o nível da segurança deve ser proporcional ao tamanho da operação de dados.
Assim, temos um exemplo bastante benéfico para a aplicabilidade da Lei, tanto para as Instituições Bancárias, numa possível redução de custos, como para os clientes que terão domínio sobre seus dados. E para os demais segmentos é a condição para concretizar novos negócios nos mercados nacional e internacional.
Comentários