APONTAMENTOS ACERCA DA LEI GERAL DE PROTEÇÃO DE DADOS
A Lei Geral de Proteção de Dados, é uma realidade que vem se estabelecendo como necessidade com relação à privacidade dos dados pessoais, posta ao longo de cerca de 70 anos, saiu do papel no Brasil, em 2018, com a verdade criada desde o surgimento da internet quando. a carência de regulamentação passou a realmente ser notada, no Brasil; ganhou contornos mais robustos na metade da década de 1990, época em que o debate sobre a privacidade de dados pessoais atingiu relevo mundial.
Vejamos o seguinte contexto histórico nos seguintes diplomas legais e anotações que, já tratavam do tema sobre privacidade pessoal em seus dispositivos:
1948 – Declaração Universal de Direitos Humanos
1950 – Convenção Europeia de Direitos Humanos
Décadas de 60, 70 e 80 – Países europeus começam a criar suas próprias leis de proteção de dados
1968 – Recomendação 509 do Conselho da Europa
1980 – Diretrizes da OCDE (Organização para a Cooperação e Desenvolvimento Econômico) para Proteção da Privacidade e Transferência Internacional de Dados Pessoais
1981 – Convenção 108
1995 – Diretiva de Proteção de Dados (Diretiva 95/47/EC)
2014 – Marco Civil da Internet – Lei nº 12.965/2014
2016 – General Data Protection Regulation – GDPR Lei da União Europeia sobre o Tema
2017 – Meados de 2017, primeiros debates sobre a necessidade de uma Lei de Proteção de Dados no âmbito nacional, e a interferência da GDPR nos rumos que o assunto exigia
2018 -14 de agosto de 2018 o Congresso Nacional decreta e o então presidente Michel Temer sanciona a LGPD – Lei Geral de Proteção de Dados Pessoais – Lei 13.709/2018
2021 – 1º de agosto, início das sanções aplicáveis pela LGPD no país, pelos órgãos que se envolvem ao tema
O uso de um dado pessoal, é hoje um insumo basilar, fundamental para qualquer tipo de negócio, não existe nenhum tipo de planejamento, oferta de produtos, ato de relacionar a funcionalidade de seu banco de dados, sem o mapeamento e o conhecimento do seu consumidor, o seu público, o titular de dados como colocado pela lei.
Mini glossário sobre os termos utilizados pela Lei e sua figuração:
Titular de Dados
Pessoa natural, identificada ou identificável – Independe da nacionalidade ou local de residência – Não engloba pessoas jurídicas ou pessoas falecidas (Considerando 27).
Controlador
A pessoa natural ou jurídica, autoridade pública, agência ou outro órgão que, sozinho ou em conjunto com outros, determinam a finalidade e os meios para o tratamento de dados pessoais.
Operador
A pessoa natural ou jurídica, autoridade pública, agência ou outro órgão que trata dados pessoais em nome do controlador.
Encarregado (DPO – Data Protection Officer)
Prestador do serviço que intermedia a comunicação entre a Empresa e a Autoridade Nacional de Proteção de Dados, dentre os trabalhos realizados, os que ocorrem mais comumente são:
Receber reclamações e comunicações de titulares de dados, receber comunicações da ANPD – Autoridade Nacional de Proteção de Dados, prestar esclarecimentos e sugerir providências e conscientizar colaboradores e contratados sobre como proceder no tratamento de dados dentro da Empresa.
ANPD
Autoridade Nacional de Proteção de Dados – https://www.gov.br/anpd/pt-br – responsável por cuidar de todos os paralelos referentes à Proteção de Dados, a aplicação de regras de conformidade, e a atuação conjunta com outros órgãos de proteção ao cidadão.
Dados Pseudominizados
Ocorre quando o tratamento de dados pessoais é realizado de forma que não é possível atribuir tais dados a um determinado indivíduo sem o uso de informações adicionais.
Processo de minimização dos dados pessoais
Organização precisa manter estes dados segregados das “informações adicionais” sob medidas técnicas e organizacionais para que não sejam atribuídas/atribuíveis a um indivíduo
Dados Anonimizados
Dados anonimizados são aqueles cujos identificadores únicos são totalmente desassociados, portanto, não é possível atribuí-los a um indivíduo
O que os empresários devem levar em conta num primeiro momento é o fato de que a Adequação e Implementação de programas de Proteção de Dados é uma realidade inerente ao seu negócio, uma vez que tenha funcionário(s) e cliente(s) precisa tratar os dados destes indivíduos titular(es) de dados já que as sanções aplicáveis ao descumprimento da Lei se iniciou em agosto deste ano (2021). De todo modo, mesmo a ANPD tendo já se manifestado que atuará de maneira educacional num primeiro momento, as sanções podem ser aplicadas caso haja qualquer deslize.
Há sobretudo a necessidade de se repensar o conceito de privacidade com o surgimento emergencial de tantas novas tecnologias.
DISPOSITIVOS LEGAIS RELACIONADOS À PRIVACIDADE
Constituição Federal
Direito Fundamental à Privacidade
Art 5º, X – são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação;
Art.5º. XII – é inviolável o sigilo da correspondência e das comunicações telegráficas, de dados e das comunicações telefônicas, salvo, no último caso, por ordem judicial, nas hipóteses e na forma que a lei estabelecer para fins de investigação criminal ou instrução processual penal;
Art. 5º, XIV – é assegurado a todos o acesso à informação e resguardado o sigilo da fonte, quando necessário ao exercício profissional;
Direito Civil
Art. 21 – A vida privada da pessoa natural é inviolável, e o juiz, a requerimento do interessado, adotará as providências necessárias para impedir ou fazer cessar ato contrário a esta norma
Código de Defesa do Consumidor
Art. 43 – O consumidor, sem prejuízo do disposto no art. 86, terá acesso às informações existentes em cadastros, fichas, registros e dados pessoais e de consumo arquivados sobre ele, bem como sobre as suas respectivas fontes.
§ 1° Os cadastros e dados de consumidores devem ser objetivos, claros, verdadeiros e em linguagem de fácil compreensão, não podendo conter informações negativas referentes a período superior a cinco anos.
§ 2° A abertura de cadastro, ficha, registro e dados pessoais e de consumo deverá ser comunicada por escrito ao consumidor, quando não solicitada por ele.
§ 3° O consumidor, sempre que encontrar inexatidão nos seus dados e cadastros, poderá exigir sua imediata correção, devendo o arquivista, no prazo de cinco dias úteis, comunicar a alteração aos eventuais destinatários das informações incorretas.
§ 4° Os bancos de dados e cadastros relativos a consumidores, os serviços de proteção ao crédito e congêneres são considerados entidades de caráter público.
§ 5° Consumada a prescrição relativa à cobrança de débitos do consumidor, não serão fornecidas, pelos respectivos Sistemas de Proteção ao Crédito, quaisquer informações que possam impedir ou dificultar novo acesso ao crédito junto aos fornecedores.
§ 6º Todas as informações de que trata o caput deste artigo devem ser disponibilizadas em formatos acessíveis, inclusive para a pessoa com deficiência, mediante solicitação do consumidor.
Art. 72 – Impedir ou dificultar o acesso do consumidor às informações que sobre ele constem em cadastros, banco de dados, fichas e registros:
Pena Detenção de seis meses a um ano ou multa.
Art. 73 – Deixar de corrigir imediatamente informação sobre consumidor constante de cadastro, banco de dados, fichas ou registros que sabe ou deveria saber ser inexata:
Pena Detenção de um a seis meses ou multa.
Marco Civil da Internet – Lei nº12.965/2014
Art. 7º O acesso à internet é essencial ao exercício da cidadania, e ao usuário são assegurados os seguintes direitos:
I – inviolabilidade da intimidade e da vida privada, sua proteção e indenização pelo dano material ou moral decorrente de sua violação;
II – inviolabilidade e sigilo do fluxo de suas comunicações pela internet, salvo por ordem judicial, na forma da lei;
III – inviolabilidade e sigilo de suas comunicações privadas armazenadas, salvo por ordem judicial; (…)
VI – informações claras e completas constantes dos contratos de prestação de serviços, com detalhamento sobre o regime de proteção aos registros de conexão e aos registros de acesso a aplicações de internet, bem como sobre práticas de gerenciamento da rede que possam afetar sua qualidade; (…)
VIII – informações claras e completas sobre coleta, uso, armazenamento, tratamento e proteção de seus dados pessoais, que somente poderão ser utilizados para finalidades que:
a) justifiquem sua coleta;
b) não sejam vedadas pela legislação; e
c) estejam especificadas nos contratos de prestação de serviços ou em termos de uso de aplicações de internet;
IX – consentimento expresso sobre coleta, uso, armazenamento e tratamento de dados pessoais, que deverá ocorrer de forma destacada das demais cláusulas contratuais;
X – exclusão definitiva dos dados pessoais que tiver fornecido a determinada aplicação de internet, a seu requerimento, ao término da relação entre as partes, ressalvadas as hipóteses de guarda obrigatória de registros previstas nesta Lei; (…)
Art. 8º A garantia do direito à privacidade e à liberdade de expressão nas comunicações é condição para o pleno exercício do direito de acesso à internet. Parágrafo único. São nulas de pleno direito as cláusulas contratuais que violem o disposto no caput, tais como aquelas que:
I – impliquem ofensa à inviolabilidade e ao sigilo das comunicações privadas, pela internet; ou
II – em contrato de adesão, não ofereçam como alternativa ao contratante a adoção do foro brasileiro para solução de controvérsias decorrentes de serviços prestados no Brasil.
TRAÇOS DA LGPD
A QUEM SE APLICA A LGPD
Do ponto de vista material, se aplica a qualquer pessoa – natural ou jurídica de direito público ou privado – que realiza tratamento de dados pessoais, ou seja, exerça atividade em que se utilizem dados pessoais (coleta, armazenamento, compartilhamento, exclusão etc.), inclusive nos meios digirais,
MAS O QUE É DADO PESSOAL?
Segundo a LGPD, dado pessoal é, em síntese, qualquer informação que possa levar à identificação de uma pessoa, direta ou indireta. Exemplos: dados cadastrais (nome. CPF, endereço etc.), dados de GPS. Identificadores eletrônicos, hábitos de consumo, preferência, entre outros.
EFEITOS PRÁTICOS
O âmbito de aplicação material da LGPD é extremamente abrangente, abarcando a maior parte de projetos e atividades do dia a dia empresarial.
EXEMPLOS DE SITUAÇÕES EM QUE A LGPD SE APLICA
Relações trabalhistas, relações consumeristas (inclusive quanto aos negócios offline), relação entre usuário e serviço de internet, negócios B2B que utilizam dados pessoais de parceiros ou representantes empresariais etc.
ELEMENTOS DA GDPR (LEI DA UNIÃO EUROPÉIA QUE SERVIRAM DE BASE PARA A LGPD) QUE SE APLICAM OU SE ASSEMELHAM AO BRASIL
Nestes artigos da GDPR exemplificamos o que há de aplicação:
Art. 3º – escopo territorial, possibilidade de abrangência a empresas brasileiras;
Art. 5º – princípios, transparência, limitação da finalidade e minimização de dados;
Art. 7º – consentimento, exigências mais rígidas para o consentimento junto ao titular de dados;
Art. 16 – direito a retificação, dados incorretos/desatualizados devem ser retificados;
Art. 17 – direito à exclusão, os dados não mais necessários deverão ser excluídos;
Art. 20 – direito a portabilidade de dados, o titular pode levar seus dados a outras empresas;
Art. 25 – Proteção de dados by design/default, proteção de dados como padrão e desde a concepção das aplicações;
Art. 27 – algumas empresas do Brasil devem nomear representantes na União Europeia (aquelas que tem negócios locais na UE);
Art. 33 – certas violações de dados deverão ser reportadas;
Art. 35 – realização de Análise de Impactos de Proteção de Dados;
Art. 37 – nomeação do Encarregado de Dados (Data Protection Officer);
Art. 83 – sanções, na U.E. multas de até 20 milhões de euros ou 4% do faturamento anual, no Brasil multas de até 50 milhões de reais ou 2% do faturamento anual, ambos por cada sanção.
SANÇÕES
Fatores considerados na aplicação de sanções:
Natureza, gravidade e duração da infração
Dolo ou culpa (negligência)
Ações adotadas para mitigar os dados aos titulares
Níveis de medidas adotadas para evitar que não conformidades ocorressem
Histórico
Nível de cooperação com a autoridade
Medidas adotadas previamente contra o controlador ou operador
Bases Legais para o Tratamento de Dados Pessoais
Consentimento
Execução de contrato
Cumprimento de obrigação legal
Defesa de interesses vitais dos titulares
Interesse público ou de autoridade
Interesse legítimo
Bases Legais e Direitos dos Titulares
Consentimento
Ação afirmativa do titular
Livre
Informado
Inequívoco
Demonstrável
Granular
Legítimo Interesse
Legítimo interesse do controlador ou de terceiro
Tratamento deve ser necessário para atender o legítimo interesse (finalidade)
Equilíbrio entre interesses dos titulares de dados e seus direitos e liberdades fundamentais
Deve existir uma relação relevante e apropriada entre o titular do dado e o controlador
Direitos dos Titulares
Direito de informação
Direito de acesso
Direito de retificação
Direito de apagamento (direito ao esquecimento)
Direito de restringir o tratamento
Direito de portabilidade
Direito de objeção
Direito de não ser sujeitado a decisões automatizadas
Direito de ser notificado (em caso de incidentes)
Princípios para o Tratamento de Dados Pessoais
Parte dos princípios já eram previstos nos frameworks precursores da GDPR
Princípios:
Licitude
Lealdade
Transparência
Limitação da finalidade
Minimização dos dados e limitação do armazenamento
Exatidão
Integridade e confidencialidade
Princípios e Direitos dos Titulares
Licitude, lealdade e transparência
Tratamento de dados deve ser lícito, leal e transparente
Permissão e fundamentação legal
Cientificar os titulares da coleta, da manutenção, do uso e do descarte de dados (decisão consciente sobre o uso de dados)
“Empoderamento” do titular de dados
Transparência “proporcional ao poder do tratamento dos dados pessoais e à capacidade de assimilação dos titulares”
Informações concisas, de fácil acesso e compreensão, com linguagem clara e simples
Limitação da Finalidade
A coleta deve se dar para uma finalidade específica, explícita e legítima
Vedado tratamento posterior para finalidade incompatível com a originalmente proposta
Específica: objetivos precisos e identificados
Explícita: claramente revelada, explicada ou expressa
Legítima: interpretada no contexto do tratamento
Minimização dos Dados e Limitação do Armazenamento
Minimização: Os dados pessoais devem ser “adequados, pertinentes e limitados ao que é necessário para atingir às finalidades para as quais são tratados”.
Limitação do Armazenamento: “dados devem ser armazenados de uma forma que permita a identificação dos seus titulares apenas durante o período necessário para as finalidades para as quais são tratados”.
Exatidão
Dados pessoais devem ser exatos e atualizados sempre que necessário, conforme a finalidade
“Dados inexatos, imprecisos ou incompletos podem revelar, principalmente perante terceiros, um prolongamento equivocado da identidade da pessoa natural”.
Integridade e Confidencialidade
Garantir a segurança e a proteção contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental
Adoção de medidas técnicas ou organizacionais adequadas
Nível adequado de segurança
MODELO GERAL DE APLICAÇÃO DA LGPD
Condições de legitimidade para o tratamento de dados pessoais – posso tratar dados? – Princípios e Requisitos para tratamento (bases Legais)
Procedimentos para o tratamento lícito de dados – como devo tratá-los – Direitos do Titular, Obrigação dos Agentes, Governança e Códigos de Condutas
Sanções administrativas e responsabilidade civil – CONSEQUENCIAS do descumprimento – Fiscalização e Aplicação de Sanções, Reparação de Danos.
BASES LEGAIS PRA O TRATAMENTO DE DADOS PESSOAIS
Consentimento
Cumprimento de Obrigação Legal
Execução de Políticas Públicas
Estudos por Órgãos de Pesquisa
Execução de Contratos/Divergências Pré Contratuais
Exercício Regular de Direitos
Proteção da Vida
Tutela da Saúde
Interesses Legitimos do Controlador/Terceiro
Proteção ao Crédito
DADOS PESSOAIS SENSÍVEIS
Titular dos Dados: Filiação a organização de caráter religioso, filosófico ou político; origem racial ou étnica; filiação a sindicato; convicção religiosa; opinião política; dado referente à saúde ou à vida sexual e dado genético ou biométrico.
Consentimento Dado Sensível – livre; informado; inequívoco; específico e destacado.
Consentimento Dado Pessoal: Livre; informado e inequívoco.
O ASSUNTO É EXTENSO PARA SER COLOCADO NUM ARTIGO DE RÁPIDA LEITURA E FÁCIL ASSIMILAÇÃO, NESTE SENTIDO, BUSCAMOS COLOCAR OS PONTOS PRINCIPAIS DO QUE DEVE SER ABORDADO PARA SE TER UMA NOÇÃO DO QUE É E POR QUE EXISTE A LEI GERAL DE PROTEÇÃO DE DADOS; DEVE-SE NOTAR QUE TODAS AS EMPRESAS OU PROFISSIONAIS LIBERAIS DEVEM SE ADEQUAR À LGPD, UMA VEZ QUE TRATEM DADOS PESSOAIS DE PESSOAS NATURAIS, SEJAM FUNCIONÁRIOS, SEJAM CLIENTES, SEJAM PESSOAS QUE INDIRETAMENTE PARTICIPEM DO NEGÓCIO JURDICO ENTRE PESSOAS JURÍDICAS. ESTEJAM ESSES DADOS DIGITALIZADOS OU NÃO.
HÁ MUITOS PONTOS QUE DEIXAMOS DE ANOTAR NESTE BREVE RESUMO, COMO CADA PONTO DA LEGISLAÇÃO EM QUE SE FAZ REFERÊNCIA A ALGUM ARTIGO DA LGPD, BEM COMO SOBRE RELAÇÕES CONTRATUAIS E A QUESTÃO DA JUDICIALIZAÇÃO NO CASO A CASO.
O QUE DEIXAMOS AQUI, SÃO APONTAMENTOS NECESSÁRIOS PARA QUE SE CONHEÇA A NECESSIDADE URGENTE DE ADEQUAÇÃO E IMPLEMENTAÇÃO DE PROTEÇÃO DE DADOS E GESTÃO DE RISCOS LIGADOS À LGPD.
Por: Marco William Corrêa Siketo Lacerda, 38, Advogado OAB/MS 22.641, (Especializando) Pós-Graduando em Direito Digital e Proteção de Dados pela EBRADI – Escola Brasileira de Direito; Fez Extensão em Proteção de Dados também na EBRADI; é Membro do iLan – Instituto Liberal da Alta Noroeste, com Sede em Araçatuba, São Paulo; é Detetive/Investigador Particular Profissional, e é Credenciado para exercer a Profissão pela Academia de Detetives Hórus de São Paulo, Capital; é Profissional Sommelier de Cervejas pelo ICB – Instituto da Cerveja Brasil com Chancela da ABS-SP – Associação Brasileira de Sommeliers de São Paulo, Capital; Recentemente (julho/2021) passou a escrever para o Site www.bolsaoemdestaque.org de Três Lagoas, MS.
Escritório: Rua Elviro Mário Mancini| 1408 | Centro | 79.602-021 | Três Lagoas/MS | Whatsapp Comercial: (67) 99224 0452 | E-mail: [email protected]