A Proteção de Dados Pessoais e PLC 53/2018
Publicado originalmente em 19 de julho de 2018, atualizado posteriormente.
Você já chegou a se perguntar por que o atendente de uma loja ou o recepcionista de um consultório exige sempre que você faça um cadastro com informações sobre você? Pedem CPF, data de aniversário, telefone ou endereço, foto, impressão digital, nível de escolaridade etc. Muitas vezes, a informação solicitada nada tem a ver com o serviço prestado ou com a compra realizada. Afinal, para que a loja precisa saber qual é o seu nível de escolaridade, por exemplo?
Fica a dúvida de para que eles precisam dessa informação ou o que eles farão com elas (especialmente com aquelas que nada afetam a prestação de serviços ou a oferta do produto pretendido).
A resposta protocolar é sempre a mesma: é o sistema que pede. Ficamos reféns do sistema para fazer uma compra, entrar num prédio ou receber uma consulta. Entretanto, isso vai mudar. Acompanhe!
A necessária Lei que protege Dados Pessoais
Sancionada em 13 de agosto de 2018 a Lei Geral de Proteção de Dados (“LGPD” ou “Lei”) protege dados pessoais e altera a Lei nº 12.965, de 23 de abril de 2014 (“Marco Civil da Internet”).
O surgimento da Lei foi decorrente da necessidade de regulamentação de situações envolvendo vazamentos e uso indevido de dados em BI.
Neste sentido, o vazamento de dados dos usuários do Facebook, coletados pela Cambridge Analytica e que supostamente, foram usados para influenciar o resultado nas últimas eleições norte-americanas, certamente foi um evento que demonstrou a urgência na regulamentação sobre tratamento de dados pessoais.
Além disso, em um contexto de economia global, o Brasil precisava se adequar à tendência mundial de regulamentação, principalmente após aa entrada em vigor do General Data Protection Regulation (“GDPR”), o Regulamento Geral de Proteção de Dados da União Europeia.
Inicialmente, a LGPD entraria em vigor em 18 meses da sua publicação. Entretanto, por força de alteração introduzida pela Medida Provisória nº 869 de 31 de dezembro de 2018, aprovada pelo Senado em 29 de maio de 2019 (“MP nº869/2018″), a Lei só entrará em vigor em agosto de 2019. Ainda se aguarda a sanção presidencial.
Além disso, a MP nº869/2018 criou a Autoridade Nacional de Proteção de Dados (“ANPD”), entidade que terá entre suas competências zelar pela proteção dos dados pessoais; elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade; fiscalizar e aplicar sanções; deliberar, na esfera administrativa, em caráter terminativo, sobre a intepretação da LGPD, suas competências, dentre outras funções.
Outra relevante alteração trazida pela MP diz respeito ao fato de o titular dos dados ter direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade.
A Lei de Proteção de Dados Pessoais impactará todos os negócios no Brasil, que coletam dados pessoais de pessoas físicas. Se, em razão do seu negócio, você costuma coletar dados como nome completo, CPF, e-mail, endereço residencial, dados de localização, endereço de IP, dados de cartão de crédito, ou quaisquer outros dados que permitam individualizar uma pessoa ou qualquer informação relacionada à pessoa física, você e/ou sua sociedade estarão sujeitos à LGPD.
Essas informações são consideradas “dados pessoais” para os fins de aplicação da Lei. Poderão ser igualmente considerados como dados pessoais, para os fins desta Lei, aqueles utilizados para a formação do perfil comportamental de uma determinada pessoa física, se identificada.
Assim, antes de coletar quaisquer desses dados, você deverá informar, de forma clara e transparente, ao indivíduo quais dados dele serão coletados e qual será a finalidade para a qual eles serão usados. Deve haver uma relação entre os dados coletados e os serviços prestados, para que o indivíduo possa manifestar, por escrito, seu consentimento a tais usos de seus dados.
A LGPD prevê, em seu artigo, 7º as hipóteses em que o tratamento de dados pessoais poderá ser realizado. O consentimento do titular dos dados é uma das hipóteses de tratamento de dados, mas pode ser considerada a mais problemática de se usar, já que o titular dos dados pessoais coletados pode revogar/cancelar seu consentimento a qualquer tempo, mediante sua manifestação por escrito, devendo a ele ser disponibilizado procedimento gratuito e facilitado para manifestar essa revogação.
Além disso, há também a possibilidade de tratamento para o cumprimento de obrigação legal ou regulatória por quem trata os dados; para a realização de estudos por órgão de pesquisa quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados; para o exercício regular de direitos em processo judicial, administrativo ou arbitral; para a proteção da vida ou da incolumidade física do titular ou de terceiros; para a tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias; quando necessário para atender aos interesses legítimos do controlador ou de terceiros, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
Descumprimento da lei
A Lei prevê duas figuras importantes, relacionadas aos responsáveis pelo tratamento de dados: o chamado “controlador” e o “operador”.
Para os fins da Lei, controlador é pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. Já o operador é a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, fica obrigado a repará-lo.
Em caso de violação às determinações da Lei, o violador, além de sujeitar-se às sanções de leis específicas eventualmente aplicáveis, como a Lei de Defesa do Consumidor, também sujeitar-se-á a penalidades administrativas aplicadas pela ANPD e ainda reparação de danos.
Em caso de infração, as sanções administrativas a serem aplicadas pela ANPD podem ser multas elevadas, que variam, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitadas, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração; multa diária, observado o limite total de R$ 50.000.000,00 (cinquenta milhões de reais) por infração; bloqueio ou eliminação dos dados pessoais a que se refere a infração até a sua regularização.
Com a MP nº869/2018, ainda foram acrescentadas ainda as seguintes sanções: suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador; suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período; e proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Necessidade de adequação
Com a entrada em vigor da Lei de Proteção de Dados Pessoais e em virtude das penalidades pesadas, você precisará adequar sua prática e sua política de privacidade à uma série de exigências legais com relação ao tratamento dos dados, a finalidade dos usos dos dados, duração do tratamento, além de garantir mecanismos ao indivíduo para acessar seus dados, corrigir dados, revogar consentimento, portabilidade de dados etc.
Não bastará, apenas, mudar a política de privacidade em seu site. É importante, na prática, adotar medidas compatíveis com a legislação, na medida em que ela se aplica a qualquer tipo de coleta de dados pessoais e não meramente a coleta em meios digitais.
Gostou desse conteúdo e gostaria de acompanhar nossos artigos? Assine nossa newsletter!