Rememorando aspectos da Lei Geral de Proteção de Dados Pessoais
Henrique Gobbi
Conforme amplamente divulgado nos últimos meses, inclusive em informativo anterior (1), foi sancionada, em agosto de 2018, a Lei n. 13.709/18, conhecida como Lei Geral de Proteção de Dados Pessoais (“LGPD”), que entrará em vigor em agosto do próximo ano, após um período de 24 meses de vacatio legis. A referida norma dispõe, nas palavras do próprio legislador, “sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural”, conforme se extrai do artigo 1º (2).
A LGPD é consequência natural da atenção que tem sido dada à regulação desta espécie de direitos na atualidade, uma vez que é inegável o avanço exponencial do tratamento de dados de pessoais naturais e seus diversos impactos no cotidiano da população, que normalmente não sabe como seus dados são tratados.
É evidente que a LGPD foi fortemente influenciada pela General Data Protection Regulation (“GDPR)”, uma lei da União Europeia que versa sobre a proteção de dados pessoais e que vem sido tratada como um marco mundial sobre a disciplina do tema. Nesse sentido, destaca-se que a GDPR ditou não apenas o norte da questão, mas obrigou a todos os países que tinham qualquer relação comercial com os países europeus a se enquadrarem aos requisitos apontados pela regulamentação em questão.
Tal como a GDPR, a LGDP é uma norma baseada em princípios. No momento em que passa a ditar normas relativas à proteção de dados pessoais, ela garante direitos aos cidadãos e estabelece regras objetivas e positivas sobre tratamento de dados por pessoas de direito público ou privado; daí se dizer que contém uma enorme abrangência.
A estreita relação da LGPD com a GDPR também fica evidente quando da análise dos principais pontos tratados por ambas as leis, conforme segue:
(i) a necessidade de prévio consentimento, expresso e estritamente específico, do titular dos dados para qualquer operação de tratamento e utilização das informações (artigo 7º, inciso I);
(ii) a obrigação de imediata exclusão de toda e qualquer informação armazenada após o término da relação entre a pessoa e a entidade (artigo 60, inciso X, do Marco Civil da Internet, introduzido pelo novo diploma);
(iii) a coleta dos dados estritamente necessários ao fim desejado pelo usuário (artigo 6º, inciso III); e
(iv) a permissão da transferência de dados pessoais apenas a países que apresentem um nível adequado de proteção de dados, a fim de conferir uma segurança de caráter universal, ante a globalidade do meio digital (artigo 33, inciso I).
Um ponto de extrema relevância na LGPD é a responsabilização do controlador dos dados – isto é, aquele que decide como os dados serão processados e para quais fins eles servirão –, na medida em que cabe a ele demonstrar às autoridades responsáveis como o processamento é realizado e sua adequação perante a legislação. Tal previsão se justifica pela princípio da lei de que “a privacidade deve ser respeitada”, logo o controlador deverá incorporar a cultura da conformidade.
Nesse sentido, destaca-se que a LGDP prevê, em seu artigo 52, diversas penalidades aplicáveis aos agentes de tratamento de dados em caso de descumprimento da norma, que vão desde simples advertência até multas corretivas que podem chegar a R$ 50.000.000,00 (cinquenta milhões de reais).
Para auxiliar os agentes que tratam qualquer tipo de informação, a GDPR determina que os responsáveis pelo tratamento e processamento de dados pessoais deverão possuir em seus quadros um Data Protection Officer ("DPO"). Trata-se de um profissional ou uma empresa responsável por analisar e verificar se tais agentes, ao tratar os dados, estão obedecendo aos preceitos da normativa europeia, bem como auxiliá-los em eventuais em correções de procedimentos. O DPO desempenha o papel de agente da conformidade, portanto.
É necessário ressaltar que a obrigatoriedade da indicação do DPO é relativa, uma vez que nem todos os sujeitos que tratam ou processam dados pessoais precisarão possuir tal profissional em seus quadros. De acordo com o item 1 do art. 37 da GDPR, a indicação do DPO só será obrigatória nas seguintes hipóteses:
(i) quando o tratamento de dados é realizado por autoridade ou organismo público, com exceção de autoridades que exerçam atividade jurisdicional;
(ii) quando a entidade está envolvida em monitoramento sistemático e em larga escala de dados pessoais de usuários; ou
(iii) quando a entidade processa ou controla dados pessoais sensíveis, nos termos do art. 9 da GDPR, ou relativos a condenações ou delitos criminais, conforme art. 10 dessa mesma norma.
No caso da LGDP, a figura do DPO também está presente, sendo chamado de “Encarregado”, mas com atribuições idênticas ao primeiro. Contudo, a lei brasileira aparentemente não condicionou as hipóteses de atuação do Encarregado, pois a regra é impositiva ao indicar que o controlador dos dados deverá indicar um encarregado para o tratamento de dados pessoais (3).
Por todo o exposto, resta evidente a necessidade das empresas que lidam com qualquer tipo de armazenamento ou tratamento de dados, no sentido mais estrito da palavra, iniciarem desde já os preparativos para se adequar ao regramento da LGDP, evitando não apenas incorrer nas sanções previstas pela lei, mas para se tornarem de fato transparentes, e dar tratamento adequado às informações.
Henrique Gobbi
Advogado coordenador da equipe de Direito Consumerista do VLF Advogados
(1) Para ter acesso a matéria, clique aqui.
(2) Lei 13.709, de 14 de agosto de 2018. Disponível em: <http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709.htm>. Acesso em 24 de junho de 2019.
(3) Nesse sentido, prevê o art. 41 da LGPD que “O controlador deverá indicar encarregado pelo tratamento de dados pessoais (...)”.
