Empresas
devem aplicar muito cuidado na obtenção, tratamento e divulgação de dados
pessoais, pois o consentimento deve ser provado por quem recebe os dados.
Depois de anos de batalha, a Lei Geral de
Proteção de Dados (LGPD), aprovada em 2018, após a negativa do Congresso
Nacional em prorrogar inicio de sua vigência, entrou em vigor em 18/09/2020.
A chamada LGPD (Lei nº 13.709/2020)
disciplina diversos aspectos e procedimentos: define categoria de dados;
esclarece para quem vale suas normas; determina hipóteses, coleta e tratamento
de dados; define direitos dos titulares de dados; especifica detalhes e
condições especiais para dados sensíveis e segmentos (como crianças e
adolescentes); estabelece obrigações às empresas para coleta, tratamento e uso
de informações pessoais; cria regime diferenciado para uso e tratamento de
dados pelo Poder Público; define sanções em casos de violações e prevê a
constituição de uma autoridade nacional.
Por definição da Lei, dados pessoais são
informações que podem identificar alguém e, neste contexto, foi ainda definido
uma categoria de "dados sensíveis", que trata de qualificação pessoal com dados
sobre origem racial ou étnica, convicções religiosas, politicas e sexuais,
informações pessoais desta ordem, devem ter maior proteção, de forma a evitar
vazamento e formas de discriminação.
A lei define que tais normas, procedimentos
e sanções valem para todo o território nacional ainda que a coleta tenha
ocorrido fora do país, desde que sejam tratados e se relacionem com bens e
serviços disponibilizados ou realizados no Brasil.
Entretanto cria exceção para tratamento de
dados pelo Estado para Segurança Pública, defesa nacional e investigação e
repressão de infrações penais, o que será objeto de legislação específica.
A norma define como Tratamento de Dados
"toda operação realizada com dados pessoais, como as que se referem a coleta,
produção, recepção, classificação, utilização, acesso, reprodução, transmissão,
distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação
ou controle da informação, modificação, comunicação, transferência, difusão ou
extração".
O tratamento de dados só poderá ocorrer em
determinadas hipóteses, sendo a principal delas, mas não a única, a autorização
pelo titular das informações. Casos de cumprimento de obrigação legal, estudos
por órgão de pesquisa, proteção da vida do titular ou de terceiro, tutela da
saúde por profissionais ou autoridades da área são excepcionados na Lei. É
também exceção o consentimento para o caso da criação do cadastro positivo.
Empresas devem aplicar muito cuidado na
obtenção, tratamento e divulgação de dados pessoais, pois o consentimento deve
ser provado por quem recebe os dados, determinando ainda que tal consentimento
deve ser por escrito ou por outro meio que mostre claramente a vontade, de
forma expressa do titular em cláusula destacada, que defina o objetivo e
finalidade e ainda que autorize eventual uso, tratamento e repasse de tais
informações, determinando o uso de dados estritamente necessários.
Os casos dos dados sensíveis são ainda mais
preocupantes, pois têm regras especificas que serão regulamentadas por uma
Autoridade Nacional que definirá a possibilidade de tratamento e uso de tais
dados com vantagem econômica.
A LGPD estabelece os direitos dos
titulares, definindo que a autorização concedida deve determinar a finalidade
dos dados, sendo necessário novo consentimento para fim distinto daquele
original, devendo ser definido e esclarecido toda a cadeia de tratamento das informações
coletadas, podendo ainda ser revogado tal consentimento a qualquer momento.
O titular dos dados pode requerer a uma
determinada companhia a confirmação da existência do tratamento de seus dados,
saber sobre eventual compartilhamento com algum órgão público ou proibir
a portabilidade de seus dados.
A coleta e tratamento de dados de crianças
também tem regras próprias definidas na Lei, sendo necessário o consentimento
de um dos pais, sendo tratado como exceção quando o intuito da coleta dos dados
seja localizar ou contatar os pais. A obtenção de dados de crianças além do
necessário não poderá ser condicionada ao uso de jogos ou aplicações de
Internet.
Os dados podem sempre ser contestados e
requerido a revisão por parte do titular, sendo o caso de concessão de crédito
ou contratação de um serviço, caso de processo seletivo ou disponibilização de
conteúdos em redes sociais, devendo o controlador dos dados esclarecer os
critérios e procedimentos adotados.
A LGPD define claramente os papeis e funções
de cada agente na cadeia de tratamento de dados sendo: Titular - Aquele a quem
é relacionado os dados; Controlador - aquele a quem compete as decisões sobre o
tratamento e o operador - aquele que realiza o tratamento dos dados.
Obrigações das
empresas
Foram determinadas diversas obrigações às
empresas, para o cuidado com o tratamento e a transparência para com os dados
coletados. Ao coletar os dados as empresas devem informar a finalidade, manter
registro sobre as atividades de tratamento, de forma que possam ser
apresentadas por requerimento dos titulares ou analisadas pela Autoridade
Nacional em prazo de até 15 dias.
Em caso de solicitação as empresas devem
apresentar relatórios que comprovem o risco de impacto à proteção dos dados
pessoais coletados.
Devem também manter registro e arquivos do
consentimento dos titulares dos dados respeitando as finalidades para as quais
foram consentidas.
Medidas de proteção de dados podem ser
vitais para a imagem e para a segurança das empresas, evitando prejuízos.
Profissionais de TI e Marketing devem ser
rigorosamente selecionados, suas atividades mais do que nunca devem ser objeto
de muita atenção pelas empresas. Mecanismos de compliance mais do que nunca
merecem total atenção e rigor. Tratamento de informações merecem total atenção
das empresas.
Poder Público
Para o Poder Público, a Lei Geral de
Proteção de Dados relativiza o consentimento no tratamento de dados para
políticas públicas previstas em leis, regulamentos e contratos. É ainda
permitido o uso compartilhado de dados por entes públicos, desde que
respeitados os princípios previstos na norma. Porém é obrigatório que cada
órgão informe as hipóteses de tratamento de dados, incluindo a base legal, a
finalidade e os procedimentos empregados.
Sanções e fiscalização
A LGPD define as sanções para o caso de
violação das regras por ela determinadas, partindo de advertências, com
possibilidade de medidas corretivas; multa de até 2% do faturamento com limite
de até R$ 50 milhões; bloqueio ou eliminação dos dados pessoais relacionados à
irregularidade, suspensão parcial do funcionamento do banco de dados e
proibição parcial ou total da atividade de tratamento.
A Autoridade Nacional de Proteção de Dados
(ANPD), órgão criado com vinculação à Presidências da República, fica
encarregado da fiscalização, porém atém o momento a ANPD não foi instituída
pelo Planalto. Foi editado decreto com a estrutura do órgão, mas na prática,
ele ainda não existe.
Por
Sivaldo Nascimento - Advogado e Economista, Pós Graduação em Direito Tributário
e Processo Tributário, com larga experiência em Gestão Empresarial, Jurídica
& Tributária.