LGPD: você já deveria saber que lei é essa

Por Walter Barcellos Duque.

Opinião / 19:54 - 19 de ago de 2019

Siga o Monitor no twitter.com/sigaomonitor

Vivemos em uma sociedade na qual a informação é cada vez mais útil e valorizada. Os meios de coleta de todos os tipos de informação se multiplicam ao nosso redor sem que nos demos conta disso.

O acesso a um site na internet, uma postagem em redes sociais, a escolha de um filme no Netflix ou a definição de um trajeto no Waze são exemplos de situações nas quais compartilhamos nossas informações pessoais, ou dados pessoais, como são chamados pela lei.

Como bem conceituaram Renato Opice Blum e Viviane Nóbrega Maldonado na obra LGPD – Lei Geral de Proteção de Dados, a informação, que antes era um insumo básico, passou a ser uma commodity com grande valor comercial. Coletar e negociar essas informações são o grande negócio desse início do século quando empresas milionárias surgem com um clique do mouse.

 

Compartilhamos informações sem

nos dar conta, como a impressão digital

 

Em meu artigo anterior, falei um pouco sobre a inteligência artificial, o Big Data, a revolução que já se iniciou e que afetará drasticamente nossas vidas pessoais e profissionais em um futuro próximo.

Pois bem, a base de toda essa transformação é justamente a informação e principalmente a sua, a minha, a nossa informação.

Até agora pouco nos preocupamos com as informações que disponibilizamos. A maior parte das pessoas se preocupa apenas com a senha do banco ou do e-mail, mas não percebeu ainda que todos os dias compartilha com várias empresas diversos outros dados importantíssimos, como, por exemplo, sua impressão digital.

Quando você entrega, na portaria do prédio do médico que visita eventualmente, sua impressão digital, você está compartilhando a mesma impressão digital que é utilizada para acessar sua conta bancária em um caixa eletrônico ou ainda, para destravar a porta de casa ou do escritório que já utilize uma fechadura eletrônica.

Essa impressão digital, por sua vez, está agora em um banco de dados que a vincula ao seu cadastro na portaria do prédio, onde também lhe pediram uma foto e um documento de identidade, ou seja, em um simples ingresso em um edifício “pessoas” (várias e indetermináveis) já sabem seu nome, RG, CPF, têm sua foto e ainda sua impressão digital!

Nesse momento você, como qualquer pessoa, deve ter percebido como estamos vulneráveis nesse mundo conectado. Acredito que já se sinta um pouco mais inseguro do que momentos antes de ler esse artigo e bem mais inseguro do que se tivesse entregue apenas a senha do banco, não é?

Pois é. Esse breve exemplo serviu para dar uma ideia de como somos ignorantes nessa área, de como nossos dados são coletados e o grau de exposição a que estamos submetidos sem qualquer proteção legal.

Nesse cenário é que surge a Lei Geral de Proteção de Dados, Lei 13.709/18, cujo objetivo principal é a proteção dos dados pessoais. Promulgada em 14/8/2018, está em período de vacatio legis e começará a produzir efeitos em agosto de 2020.

Dados Pessoais, como a própria lei conceitua no art.5º, I, é “Informação relacionada a pessoa natural identificada ou identificável”. Aqui já é possível perceber algumas delimitações da abrangência da LGPD. Ela se refere à pessoa natural, ou seja, dados de pessoas jurídicas não são o objeto da proteção.

Há ainda uma categoria de dados com tratamento especial, denominados pela lei por Dados Pessoais Sensíveis, que são aqueles listados no art.5º, II, dentre eles etnia, religião, opinião política, dados de saúde, biométrico, etc, sobre os quais tratarei nos próximos artigos.

A LGPD é, portanto, uma lei elaborada com o objetivo de proteger os dados pessoais de pessoas naturais e, para tanto, traz uma série de regras que devem ser cumpridas pelas empresas ou mesmo pessoas naturais que realizem tratamento de dados.

A lei conceitua o tratamento de dados no mesmo art.5º, no inciso X e lá relaciona uma série de condutas, dentre elas: coleta, produção, recepção, classificação, transmissão, armazenamento, modificação, transferência, difusão, extração etc.

Qualquer empresa que trate dados, seja de seus clientes ou mesmo de funcionários, deverá atender aos requisitos da lei. Isso importa em mudanças complexas em procedimentos que envolvem diversas áreas de sua estrutura, em especial marketing, RH, compliance, TI e o jurídico.

Mais uma vez a regra é o “tone of the top”, ou em português, “o exemplo vem de cima”. Digo mais uma vez, porque este já é um dos pilares para efetividade dos programas de compliance, e que aqui também precisa ser utilizado.

A tutela de direitos como liberdade e privacidade dos titulares dos dados pessoais, ou seja, todos nós, tem que ser uma preocupação daqueles que comandam a empresa e deve ser transmitida para todos que dela participam, deve-se desenvolver essa consciência como uma nova cultura. Nova cultura porque o conceito do que é e a importância da informação ainda precisam ser transmitidos para a maioria de nós.

Como eu já disse antes, poucos conhecemos a importância dos nossos dados pessoais, menos ainda conhecem os meios pelos quais eles são coletados e pior, quase ninguém sabe como são utilizados/tratados (tenho dúvidas se alguém realmente sabe). Daí a importância do comprometimento de toda a equipe, de todas as áreas da empresa, que em conjunto precisam estar atentas a possíveis não conformidades.

A lei define que controlador é a pessoa natural ou jurídica a quem compete decidir sobre o tratamento de dados (art.5ª, VI), operador é quem trata os dados por ordem e em nome do controlador (art.5º, VII) e denomina esses dois como agentes de tratamento (art.5º, IX).

Os agentes de tratamento portanto são aqueles que coletarão, armazenarão e utilizarão nossos dados pessoais. São, portanto, os responsáveis por cumprir as determinações da LGPD e garantir a privacidade, liberdade e o livre desenvolvimento da personalidade da pessoa natural.

Esses agentes de tratamento são solidariamente responsáveis por quaisquer danos decorrentes do tratamento de dados (art.42, §1º) e o mesmo artigo da lei prevê que há a possibilidade de inversão do ônus da prova pelo juiz.

A lei estabelece os direitos ARCO – Acesso, Retificação, Cancelamento e Objeção de tratamento. A lista constante do artigo 18 define situações e comportamentos que podem ser exigidos dos agentes de tratamento, ou seja, qualquer pessoa cujos dados pessoais tenha sido coletado por uma empresa pode exigir: a confirmação da existência do tratamento, o acesso e correção dos dados, portabilidade, eliminação, informação de para quem e com que finalidade são compartilhados etc.

Caso não atendido, o titular dos dados pode ajuizar ações individuais ou coletivas e as sanções vão desde o bloqueio do tratamento de dados até o pagamento de multa de 2% sobre o faturamento (art.52).

Há ainda a possibilidade de responsabilização penal, eis que a lei dispõe no art.52, §2º que as sanções nele previstas não substituem a aplicação de sanções administrativas, civis ou penais definidas na Lei nº 8.078, de 11 de setembro de 1990, e em legislação específica.

Vê-se que o condomínio do nosso exemplo do início do texto terá que ter uma série de cuidados antes de pedir qualquer tipo de dado pessoal de seus visitantes. Aqui cabe uma reflexão inicial importante: será que o porte do controlador pode influenciar no nível de observância das conformidades da lei? Será razoável exigir de uma pequena empresa ou mesmo um profissional liberal que atenda a todos os seus requisitos?

Nos próximos artigos falarei sobre esses requisitos, principalmente a exigência da existência de um encarregado (art.5º, VIII), que é aquela pessoa que deve ser o canal de comunicação entre o controlador, os titulares dos dados e a ANPD (Autoridade Nacional de Proteção de Dados).

Falarei também sobre a GDPR – General Data Protection Regulation, aplicada na União Europeia e que foi a base para a criação da LGPD. E destacarei alguns dos pontos mais controversos que teremos que enfrentar já em agosto de 2020.

Walter Barcellos Duque

Advogado, sócio na AWD Consultoria / AWD Advogados Associados.

Siga o Monitor no twitter.com/sigaomonitor