A Lei Geral de Proteção de Dados Pessoais
Introdução
Em 14 de agosto de 2018, a Lei nº 13.709 (LGPD – Lei Geral de Proteção de Dados Pessoas) foi sancionada, criando o marco legal da proteção de dados pessoais no Brasil. A LGPD se baseia no Regulamento Geral sobre a Proteção de Dados da União Europeia (GDPR – General Data Protection Regulation) e se aplica às pessoas naturais e jurídicas de direito público e privado.
O Brasil passa a integrar um grupo de mais de 120 países que já haviam instituído leis sobre proteção de dados pessoais; entre eles estão outros sul-americanos, como Argentina, Chile, Colômbia, Peru e Uruguai, de acordo com a Rede Ibero-Americana de Proteção de Dados1. A adoção de boas práticas reconhecidas internacionalmente possibilita que empresas multinacionais ou com atuação global padronizem procedimentos internos, tornando seus mecanismos de proteção de dados pessoais mais eficientes.
A LGPD só entrará em vigor em 18 meses da sua publicação. O período será importante para que os interessados adequem seus procedimentos às novas exigências da LGPD e das demais normas a ela relacionadas que serão editadas.
A aplicação de boa parte das disposições previstas na LGPD depende da criação de uma Autoridade governamental, com poderes de fiscalização, normativos e de aplicação sobre a proteção de dados pessoais. Um novo regulamento na forma de decreto federal também é esperado.
Fundamentos e princípios
A LGPD tem como fundamentos, conforme previsto em seu texto, o respeito à privacidade; a autodeterminação informativa; a liberdade de expressão, informação, comunicação e opinião; a inviolabilidade da intimidade, da honra e da imagem; o desenvolvimento econômico e tecnológico e a inovação; a livre iniciativa, a livre concorrência e a defesa do consumidor; os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.
O tratamento de dados pessoais estará sujeito à boa-fé e aos seguintes princípios: finalidade; adequação; necessidade e proporcionalidade em relação às suas finalidades; livre acesso; qualidade dos dados; transparência; segurança; prevenção; não-discriminação; responsabilização e prestação de contas. Alguns desses princípios também são adotados pelo GDPR, até por isso as duas normas tratam alguns temas de forma similar, como, a aplicação territorial, os direitos do titular, a transferência internacional de dados e a violação às normas.
Aplicação territorial
A tabela abaixo compara a aplicação territorial da LGPD e do GDPR. As normas apresentam similaridades, especialmente em relação à oferta de bens e serviços. Mas o regulamento europeu tem aplicação mais ampla que a LGPD, já que até o monitoramento do comportamento é uma das hipóteses previstas pelo GDPR.
Escopo territorial dos marcos regulatórios brasileiro e europeu
LGPD |
GDPR |
||
I III |
tratamento de dados pessoais realizado no território nacional |
No. 1 |
o tratamento de dados pessoais é realizado no contexto das atividades de um estabelecimento de um responsável pelo tratamento ou de um operador na União, independentemente do tratamento ser realizado na União |
II |
tratamento para a oferta ou fornecimento de bens ou serviços no território nacional |
No. 2 |
o tratamento de dados pessoais de titulares residentes no território da União, efetuado por um responsável pelo tratamento ou subcontratante não estabelecido na União, quando as atividades de tratamento estejam relacionadas com |
(a) a oferta de bens e serviços, ou |
|||
|
Não há disposição similar |
(b) o controle do seu comportamento, desde que esse comportamento ocorra na União |
|
No. 3 |
o tratamento de dados pessoais por um responsável pelo tratamento não estabelecido na União, mas num lugar em que se aplique o direito de um Estado-Membro por força do direito internacional público |
A escolha do legislador brasileiro quanto à aplicação territorial ficou no meio termo entre uma opção mais restritiva, que considera exclusivamente o tratamento de dados ocorrido fisicamente no país, e a referência europeia, que tem um escopo mais amplo.
Direitos e consentimento do titular dos dados
A LGPD assegura a toda pessoa natural a titularidade de seus dados pessoais, tendo o direito de obter do controlador a qualquer momento, mediante requisição à Autoridade ou às autoridades de defesa do consumidor, as seguintes medidas e informações sobre proteção de dados: a confirmação da existência de tratamento; o acesso aos dados; a correção de dados incompletos, inexatos ou desatualizados; a anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD; a portabilidade dos dados; a eliminação dos dados pessoais; a informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados; a informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa; e a revogação do consentimento.
O consentimento é elemento central da LGPD, sendo uma das condições para o tratamento de dados pessoais. A anuência do titular poderá ser dada por escrito ou por outro meio que demonstre a manifestação de vontade. A cláusula contratual sobre o consentimento deve ser destacada das demais, especificando-se a finalidade para qual os dados serão tratados. Cabe ao controlador provar que o consentimento foi obtido em conformidade com as disposições da LGPD.
O consentimento poderá ser dispensado quando o tratamento visar: o cumprimento de obrigação legal ou regulatória pelo controlador; a execução de políticas públicas pela administração pública; a realização de estudos por órgão de pesquisa; a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular; o exercício regular de direitos em processo judicial, administrativo ou arbitral; a proteção da vida ou da incolumidade física do titular ou de terceiro; a tutela da saúde; o atendimento dos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular; ou a proteção do crédito.
O GDPR trata do consentimento de forma semelhante à lei brasileira; trata-se da primeira hipótese de licitude do tratamento de dados, prevista no seu artigo 6º, nº 1. O GDPR também submete o consentimento ao cumprimento de determinadas exigências formais e à possibilidade de sua revogação. Assim como a LGPD, dispensa o consentimento do titular em situações específicas.
O titular tem o direito de ter os seus dados eliminados após o término do tratamento em ambas as leis, o que provém do “storage limitation principle” previsto no GDPR.
Transferência internacional de dados
A LGPD permite a transferência internacional de dados pessoais desde que: (i) seja realizada para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais considerado adequado – a definição de adequação ainda será determinado pela Autoridade; (ii) o controlador ofereça e comprove garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados, na forma de: (a) cláusulas contratuais específicas para determinada transferência; (b) cláusulas-padrão contratuais; (c) normas corporativas globais; e (d) selos, certificados e códigos de conduta regularmente emitidos; (iii) seja necessária para a cooperação jurídica internacional entre as autoridades públicas de inteligência e de investigação; (iv) seja necessária para a proteção da vida ou da incolumidade física do titular ou de terceiro; (v) autorizado pela Autoridade; (vi) seja necessária para a execução de política pública ou atribuição legal do serviço público; (vii) o titular tenha fornecido o seu consentimento específico e em destaque para a transferência internacional; ou (viii) seja necessária para que o controlador cumpra com seus deveres legais.
A lei brasileira dá à Autoridade amplos poderes para permitir a transferência internacional em hipóteses não previstas na LGPD. A discricionariedade da Autoridade está limitada por restrições referentes à natureza dos dados, à adoção de medidas de segurança e à existência de garantias legais e institucionais que assegurem os direitos de proteção de dados pessoais.
O GDPR trata da matéria de forma similar: sujeita as transferências internacionais a uma decisão de adequação da autoridade europeia, baseada nos níveis de proteção aos dados pessoais garantidos pela parte receptora. Trata-se de hipótese semelhante a prevista na LGPD referida no item (i) acima. O GDPR contém um princípio geral, que estabelece que qualquer transferência só ocorrerá se determinadas condições forem cumpridas pelo controlador e pelo operador.
A LGPD e o GDPR dão atenção à cooperação internacional. Há disposições em ambas as normas autorizando a transferência internacional de dados pessoais para essa finalidade.
Violação da lei e exercício de direitos
O controlador ou o operador de dados deverá reparar os danos causados em decorrência de violações às disposições da LGPD. Para assegurar a indenização dos titulares dos dados, a lei brasileira estabelece que (i) os operadores responderão solidariamente com os controladores quando descumprirem suas obrigações legais ou não seguirem as instruções lícitas do controlador; e (ii) os controladores que estiverem diretamente envolvidos no tratamento de dados do qual decorreram danos ao titular também responderão solidariamente.
Controladores e operadores não serão responsabilizados quando provarem que: (i) não realizaram o tratamento de dados que lhes é atribuído; (ii) embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou (iii) o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro. Controladores e operadores também serão responsabilizados caso não instituam medidas de segurança.
O Judiciário poderá inverter o ônus da prova em favor do titular dos dados. A lei brasileira também prevê a defesa dos interesses dos titulares mediante ação coletiva. Caso a violação à LGPD ocorra em uma relação de consumo, estará sujeita à aplicação do Código de Defesa do Consumidor (CDC), possibilitando a responsabilização objetiva dos agentes de tratamento e a desconsideração da sua personalidade jurídica.
As violações às disposições da LGPD sujeitam os agentes de tratamentos de dados às seguintes sanções administrativas: (i) advertência, com indicação de prazo para adoção de medidas corretivas; (ii) multa simples, de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$50.000.000,00 (cinquenta milhões de reais) por infração; (iii) multa diária, limitada ao montante prescrito no item (ii) acima; (iv) publicização da infração; (v) bloqueio dos dados pessoais a que se refere a infração até a sua regularização; ou (vi) eliminação dos dados pessoais a que se refere a infração.
A Autoridade poderá impor sanções após procedimento administrativo que possibilite a ampla defesa, devendo ser considerados critérios como a gravidade e a natureza das infrações e dos direitos pessoais afetados, a boa-fé do infrator, a vantagem auferida ou pretendida pelo infrator; a condição econômica do infrator; a reincidência; o grau do dano; a cooperação do infrator; e a proporcionalidade entre a gravidade da falta e a intensidade da sanção. Outros critérios que devem ser considerados são a adoção, pelo infrator, (ii) de mecanismos e procedimentos internos capazes de minimizar o dano, orientadas ao controle seguro e adequado dos dados pessoais, e (ii) de políticas de boas práticas e governança.
O GDPR trata das sanções de forma similar à lei brasileira, garantindo poderes investigativos, corretivos e instrutivos às autoridades de proteção de dados pessoais dos países-membros. A depender da gravidade da infração, as autoridades podem impor multas administrativas de até 4% do volume de negócios anual do infrator em nível mundial no exercício financeiro anterior. A GDPR autoriza também que os estados-membros estabeleçam outras penalidades desde que sejam efetivas, proporcionais e dissuasivas.
No Brasil, as normas que serão expedidas pela Autoridade definirão os critérios a serem empregados no cálculo das multas, reduzindo-se o espaço para a discricionariedade e desproporcionalidade. A adoção de medidas de proteção de dados, bem como o aumento dos níveis de governança e dos controles internos são recomendáveis na medida em que reduzem a exposição dos agentes de tratamento aos riscos decorrentes da violação da LGPD.
1Há um grupo de cooperação formado por países Ibero-Americanos fundado em 2003, chamado Rede Ibero-Americana de Proteção de Dados, com a seguinte missão: “promover e contribuir com o fortalecimento e adaptação dos processos regulatórios na região, mediante a elaboração de diretrizes que servem de parâmetro para futuras normas ou para a revisão das atuais. Padrões para a Proteção de Dados aos Estados Ibero-Americanos. Disponível em: http://www.redipd.es/documentacion/common/Estandares_eng_Con_logo_RIPD.pdf.