Breves esclarecimentos sobre a Lei Geral de Proteção de Dados do Brasil (LGPD)
A LGPD prevê regras para captura, armazenamento, tratamento e compartilhamento de dados pessoais, impondo maior proteção aos usuários e também penalidades por seu não cumprimento, as empresas precisam se adequar.
LGPD[1] - Lei Geral de Proteção de Dados do Brasil que fora sancionada em agosto de 2018 e estabelece as regras sobre captura, armazenamento, tratamento e compartilhamento de dados pessoais, impondo mais proteção e penalidades para o não cumprimento. A referida lei entrou em vigência em 14 de setembro de 2020, possibilitando às empresas e organizações ter um período de dezoito meses para prover a necessária adaptação[2].
Com a referida legislação, nosso país passa a integrar a lista de cento e vinte países que possuem específica lei para proteção de dados pessoais. Percebe-se que a referida lei irá colmatar lacunas vindo substituir e/ou complementar os mais de quarenta diplomas legais que, de forma esparsa, regulamentam o uso de dados no país atualmente.
A principal influência para a criação a LGPD foi a GDPR (General Data Protection Regulation) que entrou em vigor em 2019 e regulamentou a questão na Europa. E, passou a servir de modelo para muitos outros países para que adotem semelhantes regras ou até reforcem políticas protetivas anteriores.
A referida lei entende por dados pessoais, qualquer informação relacionada à pessoa natural identificada ou identificável e, por tratamento de dados, toda operação realizada com dados pessoais, bem como os referentes à coleta, classificação, utilização, acesso, reprodução, processamento, armazenamento, eliminação, controle da informação, entre outros.
Assim, a coleta e processamento de danos deverá atender às bases legais onde se prevê nove hipóteses que tornam lícitos os tratamentos de danos, com destaque a duas, especialmente, a saber: o fornecimento de consentimento e, ainda, o legítimo interesse. O consentimento deverá ser explícito pelo titular dos dados, ou seja, deve ser informado e dado livremente, para os consumidores que optem ativamente por aderir ou não[3].
Quanto ao legítimo interesse do controlador que poderá promover tratamento de dados pessoais para atender finalidades legítimas, sendo consideradas a partir de situações concretas particulares.
A nova lei elencou dez princípios que deverão ser obedecidos pelas organizações quanto ao tratamento de dados pessoais com grande destaque ao princípio da finalidade, adequação, da necessidade e da transparência. Devem nortear tanto a atuação de organizações públicas como as privadas que possuem cultura de acumular dados, antes mesmo de saber o que farão com o acervo.
De sorte que pela lei, a coleta de dados deve se limitar ao que seja diretamente útil para imediata interação com consumidores. Assim, limitada ao mínimo necessário em relação às finalidades visadas. Há quatro diferentes agentes envolvidos, a saber: o titular, o controlador, o operador e o encarregado.
O titular dos dados é a pessoa a quem se referem os dados pessoais. O controlador é a empresa ou pessoa física que captura os dados pessoais e decide em relação sobre a forma e finalidade de tratamento dos dados. É responsável pela forma de coleta, pela finalidade e por quanto tempo estarão armazenados. É uma extensa e complexa responsabilidade.
O operador, por sua vez, é a empresa ou pessoa física que realiza o tratamento e processamento de dados pessoais sob as diretrizes do controlador. E, o encarregado é a pessoa física indicada pelo controlador e que atua como canal de comunicação entre as partes, além de orientar os funcionários do controlador sobre as práticas de tratamento dos dados pessoais.
Já se fazem sentir os fortes impactos para o marketing empresarial pois, a tendência a se firmar é a busca de métodos mais idôneos e limpos para alcançar as pessoas. As empresas terão que ficar mais atentas para ganhar leads[4] e aplicar o pensamento big data aos grupos menores de dados, mas potencialmente mais ricos.
A nova dinâmica da regulamentação pode ser encarada como uma oportunidade positiva, para um posicionamento mais estratégico e repensar suas táticas e gerar maior valor para a clientela através de reconhecimento de preferências, interações mais significativas, além de mais honestas.
Um dos pilares é o princípio da necessidade, assim, os dados devem ser usados para realização de suas finalidades, e não excessivos. Portanto, o limite a coleta de dados ao que é necessário para finalidade comercial idônea.
O que acontece com quem descumprir a LGPD? O capítulo VIII da LGPD traz disposições sobre a fiscalização e as sanções administrativas que incidem sobre quem não cumprir a lei.
De acordo com o artigo 52, as possíveis sanções são as seguintes: advertência, com indicação de prazo para adoção de medidas corretivas; multa simples, de até 2% do faturamento no seu último exercício, excluídos os tributos, limitada a R$ 50 (cinquenta) milhões por infração; multa diária; publicização da infração após devidamente apurada e confirmada a sua ocorrência; bloqueio dos dados pessoais a que se refere a infração até a sua regularização; eliminação dos dados pessoais a que se refere a infração.
O parágrafo primeiro do artigo explica que as sanções[5] são aplicadas após instaurado um procedimento administrativo, que deve prever a possibilidade de ampla defesa ao acusado.
Para a definição da sanção, serão analisados critérios como a gravidade da infração, a boa-fé do infrator, possível reincidência e outros elementos listados na lei.
Segundo o artigo 55-J da LGPD, compete à Autoridade Nacional de Proteção de Dados (ANPD)[6] a incumbência de fiscalizar e aplicar as sanções.
De
acordo com a Lei nº 13.853, de 8 julho de 2019, no art. 55-J, cabe à ANPD, a
saber:
I. Zelar
pela proteção dos dados pessoais, nos termos da legislação;
II. Zelar
pela observância dos segredos comercial e industrial, observada a proteção de
dados pessoais e do sigilo das informações quando protegido por lei;
III. Elaborar
diretrizes para a Política Nacional de Proteção de Dados Pessoais e da
Privacidade[7];
IV.
Fiscalizar
e aplicar sanções em caso de tratamento de dados realizado em descumprimento à
legislação, mediante processo administrativo que assegure o contraditório, a
ampla defesa e o direito de recurso;
V.
Apreciar
petições de titular contra controlador após comprovada pelo titular a
apresentação de reclamação ao controlador não solucionada no prazo estabelecido
em regulamentação;
VI.
Promover
na população o conhecimento das normas e das políticas públicas sobre proteção
de dados pessoais e das medidas de segurança
VII.
Promover
e elaborar estudos sobre as práticas nacionais e internacionais de proteção de
dados pessoais e privacidade;
VIII.
Estimular
a adoção de padrões para serviços e produtos que facilitem o exercício de
controle dos titulares sobre seus dados pessoais, os quais deverão levar em
consideração as especificidades das atividades e o porte dos responsáveis;
IX.
Promover
ações de cooperação com autoridades de proteção de dados pessoais de outros
países, de natureza internacional ou transnacional;
X.
Dispor
sobre as formas de publicidade das operações de tratamento de dados pessoais,
respeitados os segredos comercial e industrial;
XI.
Solicitar,
a qualquer momento, às entidades do poder público que realizem operações de
tratamento de dados pessoais informe específico sobre o âmbito, a natureza dos
dados e os demais detalhes do tratamento realizado, com a possibilidade de
emitir parecer técnico complementar para garantir o cumprimento da LGPD;
XII.
Elaborar
relatórios de gestão anuais acerca de suas atividades;
XIII.
Editar
regulamentos e procedimentos sobre proteção de dados pessoais e privacidade,
bem como sobre relatórios de impacto à proteção de dados pessoais para os casos
em que o tratamento representar alto risco à garantia dos princípios gerais de
proteção de dados pessoais previstos nesta Lei;
XIV.
Ouvir
os agentes de tratamento e a sociedade em matérias de interesse relevante e
prestar contas sobre suas atividades e planejamento;
XV.
Arrecadar
e aplicar suas receitas e publicar, no relatório de gestão a que se refere o
inciso XII do caput deste artigo, o detalhamento de suas receitas e
despesas;
XVI.
Realizar
auditorias, ou determinar sua realização, no âmbito da atividade de
fiscalização de que trata o inciso IV e com a devida observância do disposto no
inciso II do caput deste artigo, sobre o tratamento de dados pessoais efetuado
pelos agentes de tratamento, incluído o poder público;
XVII.
Celebrar,
a qualquer momento, compromisso com agentes de tratamento para eliminar
irregularidade, incerteza jurídica ou situação contenciosa no âmbito de
processos administrativos, de acordo com o previsto no Decreto-Lei nº 4.657, de
4 de setembro de 1942;
XVIII.
Editar
normas, orientações e procedimentos simplificados e diferenciados, inclusive
quanto aos prazos, para que microempresas e empresas de pequeno porte, bem como
iniciativas empresariais de caráter incremental ou disruptivo que se
autodeclarem startups ou empresas de inovação, possam adequar-se a esta Lei;
XIX.
Garantir
que o tratamento de dados de idosos seja efetuado de maneira simples, clara,
acessível e adequada ao seu entendimento, nos termos da LGPD e da Lei nº
10.741, de 1º de outubro de 2003 (Estatuto do Idoso);
XX.
Deliberar,
na esfera administrativa, em caráter terminativo, sobre a interpretação da
LGPD, as suas competências e os casos omissos;
XXI.
Comunicar
às autoridades competentes as infrações penais das quais tiver conhecimento;
XXII.
Comunicar
aos órgãos de controle interno o descumprimento do disposto nesta Lei por
órgãos e entidades da administração pública federal;
XXIII.
Articular-se
com as autoridades reguladoras públicas para exercer suas competências em
setores específicos de atividades econômicas e governamentais sujeitas à regulação;
XXIV.
Implementar
mecanismos simplificados, inclusive por meio eletrônico, para o registro de
reclamações sobre o tratamento de dados pessoais em desconformidade com esta
Lei.
XXV. A Lei estabelece ainda que o órgão deverá articular sua atuação com o Sistema Nacional de Defesa do Consumidor, do Ministério da Justiça, e outros órgãos.
Com essa nova lei, o Facebook terá maior facilidade de descobrirem quais as informações pessoais são armazenadas sobre as pessoas, além de tornar necessário o pedido de permissão expressa aos usuários das redes sociais para operar qualquer coleta de seus dados. Os usuários também terão o poder de recusar a utilização de dados, caso desejarem.
Merece atenção especial é que o conjunto de particularidades quanto às obrigações e responsabilidades do Facebook e do anunciante. Pois a depender das circunstâncias da campanha, o Facebook assumirá tanto o papel de controlador de dados quanto o de operador de dados.
No caso de controladora de dados na criação de campanhas publicitárias, terá a responsabilidade da organizar a informação de modo transparente ao usuário, informando o que está acontecendo com seus dados.
A técnica de remarketing[8] que visa trabalhar com a publicidade online dirigida aos usuários que já realizaram alguma interação com você na internet, também merece atenção. Pois, quando um usuário acessou o site para visualizar certo produto ou serviço, e, a partir de uma ação de remarketing, você exibirá um anúncio exclusivo sobre o mesmo produto, você estará salvando os cookies[9] do seu site e enviando tais informações pessoais no Facebook.
Com a lei o cliente ou usuário passou a ter maior controle sobre o uso de seus dados e, tem ainda, o direito de solicitar à empresa o acesso ou remoção de todas as informações mantidas dessa pessoa específica em toda organização. O acesso aos dados pessoais do consumidor deve ser fornecido de forma clara e completa até quinze dias da data de solicitação.
É certo que isso pode vir a ser problemático para as empresas que mantêm seus dados em lugares diferentes e para finalidades diferentes. E, a solução possível é ter uma única plataforma que seja capaz de hospedar o registro de consentimento de cada usuário.
E, ter a centralização de dados em uma única plataforma, ou até em plataformas integras, além auxiliar o acompanhamento, a alteração e atualização de todos os seus dados e permissões, é também modo de facilitar a comprovação de cumprimento estrito da norma estabelecida.
Quais são os direitos do titular dos dados pessoais? No seu artigo 2º, a Lei Geral de Proteção de Dados apresenta os fundamentos das disciplinas, que nada mais são que os direitos a serem respeitados no tratamento dos dados.
A seguir, arrolamos estes: respeito à privacidade; Autodeterminação informativa; liberdade de expressão, de informação, de comunicação e de opinião; inviolabilidade da intimidade, da honra e da imagem; desenvolvimento econômico e tecnológico e a inovação livre iniciativa, a livre concorrência e a defesa do consumidor; direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.
Cabe destacar, por derradeiro, que a LGPD apresenta somente reflexos indiretos no processo eleitoral municipal, posto que o foco principal seja a proteção dos dados pessoais de pessoas físicas.
Nas ocasiões que tratem de mero aperfeiçoamento do processo eleitoral e, não de alteração propriamente dita neste, o princípio da anualidade não é afetado conforme já decidiu o ministro do Supremo Tribunal Federal Ricardo Lewandowski na APDF 738[10]. Conclui-se que então a referida lei não interfere diretamente no presente processo eleitoral, no máximo o aperfeiçoa.
É curial informar que todas as empresas, sejam pequenas e médias, ou ainda, de grande porte, terão que atender às exigências da LGPD. E, uma das mais relevantes mudanças é a previsão do expresso consentimento dos clientes para o uso de informações. Assim, tais empresas terão de deixar evidente para qual finalidade as informações serão utilizadas.
E, normalmente, os formulários nas páginas de internet e avisos eletrônicos de empresas públicas e privadas perguntam sobre o consentimento dos usuários. De sorte que doravante tais termos deverão ser mais transparentes e honestos. Fica proibido o uso dos dados para outras finalidades que não sejam as que foram acordadas e o armazenamento de informações das quais as empresas não possa comprovar a necessidade.
Com a comentada lei será indispensável mudar a cultura no que tange à gestão de arquivos, contratação de especialistas e investimento em segurança da informação. Infelizmente, a lei não especificou a formação[11], porém deve ser alguém dotado de conhecimentos em leis e na área de Tecnologia da Informação (TI). Sendo que uma das atribuições desse profissional será prestar contas diretamente à ANPD com envio de relatórios periódicos sobre os impactos da proteção dos dados.
Referências:
BIONI, Bruno Ricardo. Proteção de Dados: a função e os limites do consentimento. Rio de Janeiro: Forense, 2019.
Direito Digital & LGPD E-book Disponível em: https://opiceblumacademy.com.br/ São Paulo: Instituto de Direito Contemporâneo. OpiceBlum Academy, 2020.
GROSSI, Bernardo Menicucci (Org.) Lei Geral de Proteção de Dados Porto Alegre, RS: Editora Fi, 2020.
PINHEIRO, Patrícia Peck. Proteção de dados pessoais: Comentários à Lei 123.709/20019(LGPD). São Paulo: Saraiva Educação, 2018.
Notas:
[1] A LGPD foi aprovada ainda em 2018, no governo Michel Temer, e modificada em 2019. Esta define direitos de indivíduos em relação às suas informações pessoais e regras para quem coleta e trata esses registros.
[2] As normas entraram em vigor em agosto deste ano e, agora, passam a valer apenas em maio de 2021.O Projeto de Lei 5762/19 prorroga por dois anos, de agosto de 2020 para agosto de 2022, a vigência da maior parte da Lei Geral de Proteção de Dados Pessoais (LGPD). Os itens entrariam em vigor em janeiro, mas esse prazo já havia sido adiado pela Lei 13.853/19, oriunda da Medida Provisória 869/18. Fonte: Agência Câmara de Notícias
[3] As empresas em cumprimento do LGPD deverão manter uma estrutura de governança de dados, isto é, certificar de que existem na organização pessoas responsáveis por zelar pela privacidade e gestão dos dados e procedimentos para reportar eventuais incidentes; preservar inventário de dados pessoais e mecanismos de transferência de dados, atestando a existência e manutenção de inventário da localização do armazenamento de dados pessoais ou fluxo de dados, com suas classes devidamente definidas; implementar uma política de privacidade de danos, assim deverá redigir e executar normas relacionadas à privacidade de dados desde que atenda a todos requisitos legais e mitigue os riscos operacionais e de danos aos titulares dos dados pessoais; incorporar a privacidade de dados às suas operações; cumprir cronograma interno de treinamento e comunicação; gerenciar os riscos relacionados à segurança da informação, isto é, manter um sistema de segurança da informação baseado nos requisitos legais e nos riscos a que a organização está submetida; administrar riscos de terceiros e parceiros de negócio estão de acordo com as normas internas e externas de privacidade de dados e dentro dos limites de tolerância ao riscos estabelecidos previamente; prover avisos legais aos usuários em conformidade com a política de privacidade de dados, os requisitos legais e análise prévia de riscos; responder tempestivamente às solicitações e reclamações de usuários. monitorar novas práticas operacionais; conduzir de forma estruturada a apuração e correção de violações de privacidade; mensurar a efetividade dos processos e controles internos; acompanhar a edição de novas regulamentações e as melhores práticas de mercado.
[4]
Leads são oportunidades de negócio que forneceu suas informações de contato,
tais como seu nome, e-mail, em troca de uma oferta da empresa (como por
exemplo, conteúdo educativo ou de entretenimento). Lead é um potencial
consumidor que representa uma oportunidade de negócio, pois já demonstrou
interesse na sua empresa de alguma forma. O conceito de lead ficou mais
evidente com o crescimento do Inbound Marketing nos últimos anos. Nessa
perspectiva do marketing, as empresas não vão atrás de clientes — são os
clientes que chegam até as empresas, por meio de estratégias de atração, como
SEO e Marketing de Conteúdo.
[5]
É relevante que a empresa se resguarde procurando ter sempre o consentimento do
titular dos dados, seja este empregado, prestador de serviço, terceirizado ou
consumidor ou cliente para evitar de sofrer as penalidades que são previstas e
que podem atingir até dois por cento do faturamento empresarial podendo chegar
até cinquenta milhões de reais.
[6]
O governo federal brasileiro aprovou a estrutura regimental e quadro de cargos
para a criação da Autoridade Nacional de Proteção de Dados (ANPD). O órgão está
subordinado à Presidência da República e tem a função de fiscalizar e editar
normas sobre o tratamento de dados pessoais por pessoas físicas e jurídicas. Há
um descompasso, entretanto, já que a nomeação do Conselho Diretor e do
diretor-presidente, órgão máximo de direção da ANPD, deve passar pela aprovação
do Senado Federal. Mas as atividades das comissões permanentes da Casa estão
suspensas em razão da pandemia de covid-19.
[7]
Ataque consiste na ação que constitui uma tentativa deliberada e não autorizada
para acessar/manipular informações, ou tornar um sistema inacessível, não
íntegro, ou indisponível. (In: Assis Mendes Advogados, #Dicionário LGPD -Lei
Geral de Proteção de Dados Pessoais, junho de 2020).
[8]
Remarketing é uma poderosa ferramenta, criada pelo Google Adwords,
para divulgar anúncios à pessoas que tenham se interessado por um
produto/serviço. Estes anúncios são veiculados em blogs, redes sociais, sites
de conteúdo e jornais online, sites que sejam vinculados à rede de display do Google,
os chamados parceiros. No comércio eletrônico o uso desta estratégia se tornou
algo tão comum que é praticamente impossível de falar em marketing online
voltado para o e-commerce sem abordar a questão do Remarketing ou Retargeting,
como também é conhecido.
[9]
Um cookie, no âmbito do protocolo de comunicação HTTP usado na Internet,
é um pequeno arquivo de computador ou pacote de dados enviados por um site de Internet
para o navegador do usuário, quando o utilizador visita o site. Para que isso
seja possível, o navegador utiliza arquivos de textos chamados Cookies,
os quais possuem como principal função armazenar as preferências dos usuários
sobre um determinado site na Internet. Cada Cookie em seu PC armazena
dados para um endereço web específico.
[10]
O ministro Ricardo Lewandowski, do Supremo Tribunal Federal (STF), complementou
a decisão proferida na Arguição de Descumprimento de Preceito Fundamental
(ADPF) 738, ajuizada pelo Partido Socialismo e Liberdade (PSOL), em que
determinou a aplicação, já nas eleições deste ano, de incentivos às
candidaturas de pessoas negras no formato definido pelo Tribunal Superior
Eleitoral (TSE), para esclarecer como tais incentivos devem ser aplicados.