Com o advento da Lei 13.709/2018, o Brasil entra para o rol de mais de 100 países que possuem uma “Lei de Proteção de Dados Pessoais”.
Sancionada em 14 de agosto de 2018, a Lei Geral de Proteção de Dados ou LGPD criou uma robusta diretriz legal para o uso de dados pessoais no Brasil, ou, em países onde estejam os dados localizados, ou seja, dados tratados em outros países também estão sujeitos a lei caso tenham sido coletados no Brasil, nos setores privados e públicos, tratadas, especialmente, mas não exclusivamente, através dos meios digitais.
A Lei estabelece regras claras, que visam trazer ao titular do direito da informação mecanismos de prevenção na coleta, armazenamento, utilização, modificação e exclusão dos seus dados, estimulando, assim, boas práticas, transparentes e seguras a serem implementadas pelas empresas e organizações que respectivamente as utilizam.
O novo regramento jurídico dispõe que organizações públicas e empresas privadas só poderão coletar e tratar os dados pessoais se possuírem efetivamente o consentimento livre e esclarecido do titular da informação. Por sua vez, a solicitação deverá ser feita de forma clara para que o cidadão – titular da informação – saiba exatamente quais fins essa será destinada e se por ventura ocorrerá o compartilhamento destas informações pessoais.
Definindo ainda como direito básico dos titulares, a lei estabelece a necessidade de criação de mecanismos eficazes, capazes de estabelecer o acesso aos dados, retificação, cancelamento, exclusão e oposição ao tratamento das informações coletadas. Quando houver o envolvimento de menores, referidos dados somente poderão ser coletados e respectivamente tratados com o prévio e expresso consentimento de seus pais e ou responsáveis legais.
Por fim, a lei ainda define uma subcategoria de dados pessoais considerados sensíveis, estes que podem ser seguidos até o indivíduo e que, se divulgados, poderá, eventualmente, resultar em danos. Mencionados dados versam sobre origem racial ou étnica, opção religiosa, opinião de natureza política, filiação a sindicato ou organização de cunho religioso, dados de opção filosófica, informações sobre saúde e ou à vida sexual, bem como dados genéticos ou biométricos. Especificadamente nestes casos a lei prevê tratamento especial a ser destinado e direcionado ao titular da informação e lista, também, eventuais hipóteses em que o tratamento das informações poderá ocorrer sem o consentimento do titular do dado.
Os responsáveis ou “Agentes de Tratamento” das informações coletadas são definidos pela lei como sendo o Controlador e Operador dos dados. Trata-se do Controlador, pessoa física ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento dos dados pessoais. Por sua vez, consiste no Operador, pessoa física ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
Nessa mesma linha intelectiva, existe, ainda, a figura do encarregado, sendo este a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
Consiste a Autoridade Nacional de Proteção de Dados (ANPD) em um Órgão Federal que fora criado para editar normas e fiscalizar os procedimentos sobre a proteção dos dados pessoais. A Autoridade fora instituída em 09 de julho de 2019, pela Lei 13.853, que trouxe sensíveis alterações ao texto da Lei Geral de Proteção de Dados (13.709/2018). De acordo com a nova Lei entre as competências da ANPD, destacam-se a elaboração de diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade e aplicar sanções em caso de tratamento de dados feito de forma irregular.
Neste fiem, cristalino demonstra-se que diante da complexidade, abrangência e importância que a Lei Geral de Proteção de Dados traz, é imprescindível a atuação da Autoridade Nacional especializada e capacitada, sempre com o viés de nortear a implementação da Lei, evitando que a fiscalização adote um caráter meramente arrecadatório e coercitivo, ou ainda simplesmente punitivo. Necessário ainda expor que, os pontos de maior relevância na implementação da LGPD ainda serão regulamentados pela Autoridade Nacional de Proteção de Dados, instituída pela Lei 13.853/2019.
Uma nova abordagem implementada pela lei envolve a responsabilidade por danos causados (moral/material, individual/coletivo) ao titular da informação pelos agentes de tratamento de dados. Acrescenta-se também a responsabilidade solidária entre os sujeitos responsáveis, em determinados casos, a fim de garantir a efetiva indenização do titular de direito.
Em razão das eventuais infrações cometidas às normas previstas na lei e não observância e respeito aos princípios norteadores da proteção dos dados pessoais, os agentes de tratamento de dados estão sujeitos às sanções administrativas aplicáveis, que se inicia em uma simples advertência, oportunidade a qual será indicado prazo razoável para adoção de medidas corretivas, podendo, ainda, ser arbitrada multa diária, que será limitada ao fim em até 2% (dois por cento) do faturamento bruto da empresa, limitado em R$ 50.000.000,00 (cinquenta milhões de reais) por infração. Sem prejuízo, poderá, ser compelida a empresa ou organização à publicizar na mídia a ocorrência da infração cometida, trazendo, assim, severos prejuízos à imagem da mesma.
As tecnologias também são consideradas um dos pontos de maior relevância para as organizações e empresas, eis que a LGPD estabelece desafios de gestão e governança de privacidade que deverão ser aplicadas na gestão da coleta dos Termos de Consentimento Livre e Esclarecido e sua eventual revogação, gestão de acesso as petições abertas pelos titulares das informações, o ciclo de vida dos dados pessoas, bem como a adequação de técnicas de anonimização dos dados, sendo que os dados anonimizados não serão considerados dados pessoais pela lei desde que o processo não possa ser reversível.
Para corporificar a adequação à LGPD, necessário se faz realizar verdadeiro mapeamento e diagnóstico detalhado dos dados pessoais tratados e seu respectivo ciclo de vida. Saber como e onde são coletados, onde estão, como funciona o processo de armazenamento, quais sujeitos possuem acesso aos dados, se existe o compartilhamento com terceiros no exterior, ou no próprio território brasileiro e os eventuais riscos inerentes ao ciclo de vida dos dados. Estes são apenas exemplos de perguntas que todas as empresas e organizações deverão responder antes de realizar a implementação da Lei Geral de Proteção de Dados.
Aspecto extremamente importante e relevante que as empresas e organizações devem se atentar é o prazo que estas possuem para se adequar as novas exigências trazidas pela lei. A LGPD foi publicada em 15/08/2018. Inicialmente a lei estabeleceu um prazo de 18 (dezoito) meses para as empresas poderem se adequar. Por sua vez, a medida provisória 869/2018 estendeu referido prazo para 24 (vinte e quatro) meses, ou seja, prorrogou por mais 6 (seis) meses o prazo inicialmente fixado. A contagem do prazo deve incluir o dia da publicação e o dia final do prazo. O prazo expira no dia de igual número do de início, computando mês a mês, a partir da publicação no Diário Oficial da União, ou seja, no dia 15/08/2020. Por este motivo e salvo melhor juízo e interpretação a Lei Geral de Proteção de Dados (13.709/2018) entra em vigor no dia subsequente ao do dia final do prazo, logo, as empresas e instituições terão como prazo final para se adequarem à Lei Geral de Proteção de Dados e não sofrerem eventuais notificações e multas, até o dia 16/08/2020.
Decisivamente a Lei Geral de Proteção de Dados é um verdadeiro divisor de águas, revelando-se como um passo de extrema relevância, eis que lança o Brasil em status de igualdade com outros países que também possuem uma Lei que trata efetivamente da proteção dos dados pessoais, colacionando de forma taxativa a necessidade da boa-fé no tratamento dos dados pessoais, reivindicando transparência dos Agentes e Sujeitos que lidam com os dados, postulando penalizações às irregularidades, abusos e excessos no tratamento das informações.
Ramon Sena de Oliveira é advogado e Diretor Jurídico da Orcys Group.