Por Lucas Rosado e Vitor Quaresma
A evolução dos sistemas e recursos tecnológicos moldou uma nova realidade pautada na globalização e no uso de redes, dessa forma, introduzindo-nos à era digital vivenciada hoje. Dados digitais são igualmente importantes e possuem tanto valor quanto a própria documentação física, pois a atuação dos sistemas permite que quase todo e qualquer procedimento se realize de forma eletrônica. O mundo digital é constituído por dados, desde as informações que constam no cadastro das redes sociais de uma pessoa até as informações relacionadas às suas contas e movimentações financeiras armazenadas em sistemas bancários.
A insurgência da Lei nº 13.709/2018, conhecida como Lei Geral de Proteção de Dados, sancionada pelo ex-presidente Michel Temer, tem por escopo o resguardo dos dados pessoais que são fornecidos e a forma com a qual devem ser tratados por pessoas físicas ou jurídicas, de maneira a preservar a intimidade do fornecedor de dados, bem como a inviolabilidade de sua honra, intimidade e imagem. Esse dispositivo veio para alterar a antiga Lei nº 12.965/2014, mais conhecida como Marco Civil da Internet, e que, até então, tem sido usada para regular essas operações.
De onde veio essa lei e qual o seu verdadeiro propósito ? A LGPD foi baseada no Regulamento Geral de Proteção de Dados (GDPR, na Europa) que ditou rígidas regras para coletar, processar e compartilhar dados pessoais na internet, e que hoje já repercute em sistemas até mesmo no Brasil, sistemas esses que comercializam ou que tratam dados de usuários na Europa. Muitas empresas, inclusive, já adequaram seus Termos de Uso para abranger essas mudanças no tratamento de dados. Neste nosso segundo artigo em parceria com a empresa React-it solutions, discorremos sobre os principais pontos da LGPD e seus reflexos para o momento de sua entrada em vigor.
Mas afinal, o que muda ? O principal viés da Lei de Proteção de Dados é o regulamento do tratamento e uso dos dados pessoais cadastrados por sistemas eletrônicos, na maioria das vezes por pessoas jurídicas, embora a Lei não exclua seu âmbito de aplicação às pessoas físicas também. Dessa forma, a legislação obriga as empresas detentoras desses dados a seguirem o protocolo estabelecido, sob pena de responderem as sanções administrativas elencadas pela própria Lei. É importante que se tenha conhecimento sobre as funções da Lei, pautadas nas intenções do legislador ao criar uma norma específica relacionada às tratativas com uso de dados digitais.
Destarte, é possível vislumbrar que a LGPD nos traz uma relação entre três figuras, são elas: o titular, o controlador e o operador dos dados. O titular dos dados, como o próprio nome já sugere, é definido pela Lei como a ‘’pessoa natural a quem se referem os dados pessoais que são objeto de tratamento’’. Já o controlador e o operador (artigos 37 e seguintes), definidos pela legislação como ‘’agentes de tratamento’’, desempenham os papéis relacionados à decisão e execução, respectivamente, das operações relacionadas ao processamento ou uso dos dados fornecidos. Dessa forma, a Lei visa o resguardo dos dados pessoais coletados em face da privacidade, intimidade e honra da pessoa que os fornece, inclusive, sendo da incumbência dos agentes de tratamento a adoção de medidas de segurança para assegurar essa proteção, sob o risco de responderem judicialmente pelo ressarcimento de eventuais danos decorrentes do mau uso desses dados. Essa proteção se faz necessária uma vez que um possível vazamento de dados pode comprometer até mesmo a segurança do titular, já que hoje em dia tudo é armazenado de forma eletrônica, como por exemplo, dados bancários.
A LGPD disciplina, em especial, a atuação das pessoas jurídicas, e de que forma devem ser tratados os dados que estão em seu poder, principalmente dando um enfoque no tratamento de dados que envolvem atividade comercial. Isso porque a Lei elenca algumas hipóteses, em seu artigo 4º, de exclusão de sua aplicação, dentre essas, o tratamento de dados ‘’realizado por pessoa natural para fins exclusivamente particulares e não econômicos.’’ A legislação também faz a diferenciação entre dados pessoais e dados pessoais sensíveis. A principal diferença entre os dois é o conteúdo, visto que o grau de comprometimento de certas informações é maior nos dados pessoais sensíveis, e, em decorrência disso, a proteção conferida tende a ser mais intensiva. Todavia, como já foi introduzido, a Lei determina que nos dois casos o tratamento de dados só será realizado mediante consentimento expresso do titular, por força do artigo 7º, inciso I (no caso dos dados pessoais) e no artigo 11º, inciso I (no caso dos dados pessoais sensíveis), salvo as exceções previstas.
Por fim, cumpre ressaltar que a Lei regulamenta, inclusive, o tratamento de dados realizado pelo Poder Público, zelando sempre pelo atendimento de sua finalidade pública, no âmbito do interesse público. O artigo 23 disciplina as regras a serem seguidas pelas Pessoas Jurídicas de Direito Público no tratamento de dados, são elas a publicidade que deve ser atribuída aos objetivos e finalidades desse tratamento (Inciso I) e a indicação de um encarregado, figura já vista anteriormente, na realização de operações envolvendo tratamento de dados. Ademais, o artigo 26 determina que o uso compartilhado de dados pessoais realizado pelo Poder Público deve ‘’atender a finalidades específicas’’, tais como a execução de políticas públicas e as atribuições legais pelos órgãos e entidades públicas, sempre primando pelos princípios de proteção de dados dispostos na Lei.
E o que vai acontecer se a empresa não seguir as disposições reguladas na LGPD ? Será instituído um novo órgão para assegurar o cumprimento das disposições legais, chamado de Agência Nacional de Proteção de Dados - ANPD, criado pela MP 869/18. Esse órgão será o responsável pela realização do controle de fiscalização para averiguar se as empresas estão agindo dentro dos parâmetros estabelecidos pela Lei, podendo solicitar relatórios de risco, fazer auditorias e até aplicar as sanções administrativas legalmente previstas se encontrar qualquer irregularidade, dentre elas inclusive, a multa. A ANPD contatará as empresas, por meio de uma quarta figura (se considerarmos as três mencionadas anteriormente), chamada de encarregado (artigo 41 e seguintes), que como o nome já diz, é encarregada de responder junto a APND pelos dados da empresa como um intermediário.
Qual a melhor forma de se adequar aos parâmetros da Lei ? Como devo proceder ? Primeiramente, o ideal é que seja criado um Comitê de Segurança, ou a contratação de uma empresa especializada, com o intuito de mapear todo o fluxo de dados do seu sistema, por onde trafegam, como são guardados, compartilhados e avaliar quais mudanças devem ser realizadas nesses procedimentos. Assessoria Jurídica é igualmente importante, tendo em vista que a maioria das empresas que exercem atividades de cunho delicado como tratamento de dados está sujeita a um risco de enfrentar eventuais situações tanto na seara administrativa quanto na judicial, a depender do caso. A LGPD entrará em vigor em agosto de 2020, então é de suma importância começar a pensar desde já nesse processo, para que se tenha tempo hábil de realizar as mudanças necessárias na estrutura organizacional da empresa, de forma a se adequar à essas disposições legais.
E para o consumidor, fornecedor desses dados, é importante atentar-se aos Termos de Uso oferecidos pela entidade comercial sempre, tirando um tempo para ler cada disposição, exaurindo dessa forma todo o conteúdo para que de fato se tenha ciência das consequências de fornecimento dos dados, lembrando sempre que o consentimento do titular que fornece os dados será uma exigência prevista na Lei, e poderá ser revogado a qualquer tempo. Igualmente importante que se tenha conhecimento que a Lei confere o direito de requisitar ao controlador, a qualquer momento, a confirmação de existência, acesso, correção, anonimização, bloqueio e até mesmo a eliminação dos dados, desde que a medida requerida esteja em conformidade com as disposições legais.
Dessa forma, diante das informações trazidas, tendo em vista o atual panorama do uso globalizado de recursos tecnológicos, evidente que se fez necessária a regulamentação de normas que disciplinem o tratamento de dados digitais, como o caso da LGDP, delimitando os objetivos da coleta e armazenamento dos dados pessoais, e inclusive, atribuindo responsabilizações e sanções passíveis de serem aplicadas em função do seu descumprimento, de maneira a equilibrar as relações entre os titulares e agentes de tratamento.
Obs: Este artigo teve uma versão publicada no caderno Direito e Justiça do Correio Braziliense, na edição do dia 30/09/2019.
Comentários