Por Gustavo Barcellos e Layon Lopes*
O Congresso Nacional aprovou no ano passado a Lei 13.709, de 14 de agosto de 2018 que ficou conhecida como Lei Geral de Proteção de Dados (LGPD). Essa novidade nada mais é do que uma resposta brasileira às mudanças mundiais relativas às políticas de proteção dos dados pessoais dos usuários das plataformas inseridas dentro da rede mundial de computadores.
Tais mudanças são produtos das discussões decorrentes dos escândalos envolvendo vazamento de dados pessoais e informações confidenciais dos governos das principais potências mundiais, entre eles: o vazamento de dados governamentais por Julian Assange, criador do site WikiLeaks; ou ainda, a suspeita de uso indevido dos dados pessoais dos usuários do Facebook pela empresa Cambridge Analytica, com a finalidade de interferir indevidamente nas eleições Norte-Americanas de 2016.
Por conta disso, em 2016, a União Europeia editou a Regulação (EU) 2016/679, denominada “General Data Protection Regulation”, que tem como objetivo assegurar o processamento de dados pessoais feito de forma leal, justa e transparente. Este fato concedeu ao cidadão europeu novos instrumentos para ter acesso ao processo de tratamento de seus dados feitos pelas empresas, podendo até mesmo solicitar a exclusão permanente de seus registros.
A novidade europeia serviu como base para a Lei Geral de Proteção de Dados brasileira, modificando a forma como os dados pessoais dos brasileiros são coletados, processados, armazenados, transferidos e destruídos.
O primeiro passo para verificar se uma empresa está atuando dentro dos limites delineados pela Lei é saber quem são os principais sujeitos envolvidos nesta relação e quais são as suas respectivas funções:
Titular: É toda pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
Controlador: É toda pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
Operador: É toda pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
Encarregado (Data Protection Officer): É toda pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados;
Agentes de Tratamento: Controlador e o operador.
É importante frisar que “tratamento de dados” nada mais é do que toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
E o que seriam os dados pessoais, então? São todas as informações relacionadas a pessoa natural identificada ou identificável – aquela pessoa que, por meio de outros elementos, se sabe quem é.
O segundo passo é assegurar que os titulares concedam conscientemente autorização às empresas para que elas realizem o tratamento de seus dados pessoais, a qual, geralmente, deve ser dada de forma escrita e em documento separado das demais cláusulas do contrato firmado. Caso os agentes de tratamento quiserem repassar os dados coletados a terceiros, somente poderão fazê-lo mediante a autorização do titular.
No entanto, há de se ter em mente que, mesmo após a concessão da autorização, o titular terá direito ao acesso às informações sobre o tratamento de seus dados, os quais deverão ser disponibilizadas pelos agentes de tratamento de forma clara e abordar, dentre outros temas: qual a finalidade específica do tratamento; a forma e duração do tratamento; a identificação do controlador; as informações de contato do controlador; as informações acerca do uso compartilhado de dados pelo controlador e a finalidade; as responsabilidades dos agentes que realizarão o tratamento; e os direitos do titular.
O titular dos dados terá direito a acessá-los, solicitar sua alteração, correção ou exclusão, bem como revogar o consentimento a qualquer momento. As respostas às solicitações dos titulares devem ser dadas pelos agentes de tratamento e indicar, se for o caso, a razão pela qual não é possível o seu imediato atendimento.
De outro lado, se as empresas que realizam o tratamento de dados pretenderem transferi-los para parceiros comerciais de outros países, é importante reforçar que a Lei Geral de Proteção de Dados tem como um dos seus pontos mais marcantes a chamada Aplicação Extraterritorial. Ela se aplica a qualquer operação de tratamento de dados realizada por pessoa natural ou jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que a operação de tratamento seja realizada no território brasileiro; ou a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no Brasil; ou ainda, se os dados pessoais objeto do tratamento tenham sido coletados no território nacional.
Vale ressaltar que em relação à aplicação da lei, o legislador, em momento nenhum, especifica que somente o tratamento de dados pessoais será objeto da Lei Geral de Tratamento de Dados. Portanto, qualquer empresa que processe, trabalhe ou se utilize de dados (pessoais ou não) está submetida ao diploma legal em análise.
Atingida a finalidade buscada pelas empresas através do tratamento dos dados dos usuários, a operação será considerada encerrada para fins da lei. Finalizado o tratamento de dados, os operadores devem eliminá-los de acordo com o âmbito e os limites técnicos de sua atuação, sendo autorizada a sua manutenção em algumas hipóteses previstas em lei (cumprimento de obrigação legal, estudos para órgãos de pesquisa, transferência autorizada a terceiros ou por conta de uso exclusivo do controlador).
Caso as regras da Lei Geral de Proteção de Dados não sejam observadas, tanto o controlador quanto o operador responderão de forma solidária pelos danos que causarem aos titulares dos dados pessoais coletados. Ou seja, o usuário que se sentir lesado de alguma forma poderá demandar ressarcimento de qualquer um dos agentes de tratamento.
Contudo, as empresas que coletarem dados pessoais não serão responsabilizadas se provarem que não realizaram o tratamento de dados pessoais que lhes é atribuído; ou que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou ainda que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiros.
Relativamente às medidas de segurança a serem implementadas, o legislador se limitou a impor que os agentes de tratamento adotem todas as medidas necessárias para assegurar a proteção aos dados pessoais, visando proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, sem indicar, no entanto, que meio seria esse. Sendo assim, se ocorrer alguma infração ou inobservância das medidas de segurança implementadas pelas empresas coletoras dos dados, e tal fato ocasionar infração aos bens jurídicos tutelados pela lei, há a previsão de sanções serem impostas aos agentes de tratamento infratores de acordo com alguns fatores, dentre eles: a gravidade das infrações; a boa-fé do infrator; a vantagem auferida pelo infrator; a condição econômica do infrator; a reincidência; o grau do dano; a cooperação do infrator; a adoção de mecanismo minimizadores do dano; a adoção de política de governança; a pronta adoção de medidas e a proporcionalidade entre a gravidade da falta e a intensidade da sanção.
O último e mais importante passo a ser dado pelas empresas que buscam adequar-se a esta nova realidade legislativa é buscar profissionais capacitados a reestruturar a política de privacidade por elas implementadas em suas plataformas, afinal de contas, atualmente, nos encontramos justamente no período concedido pelo legislador para que as empresas se adequem a estas novas prerrogativas, vez que a lei passará a vigorar somente em agosto de 2020.
Dúvidas Jurídicas sobre a sua Startup? Conheça nosso PLANO STARTUP com assessoria jurídica especializada em Startups e Empresas de Tecnologia, contando com advogados especialistas em Startups. Não deixe de acompanhar nossos vídeos no CANAL SL, nossa página no FACEBOOK e assinar nossa NEWSLETTER.
*Lopes é CEO do Silva| Lopes Advogados e Barcellos é integrante da equipe do escritório.
