LEXNET
Artigos
Comentários desativados em LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS: Principais mudanças e reais impactos trazidos com a nova Lei que regula a coleta e utilização de dados pessoais.
Por Ana Paula Rosa, sócia-fundadora do Escritório Rosa & Salomão Sociedade, LEXNET Rio de Janeiro
LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS: Principais mudanças e reais impactos trazidos com a nova Lei que regula a coleta e utilização de dados pessoais.
Na atual era da informatização, em que os cidadãos deixam uma gama de informações e dados pessoais nas suas interações triviais, seja nas analógicas ou digitais, quando da realização de um cadastro físico ou uma compra on-line, quando fornecem informações importantes, como CPF, RG e endereço, cadastros de biometrias etc., sem se atentar com a segurança de seus dados, a preocupação dos órgãos de defesa do consumidor visa estabelecer princípios e critérios para a coleta de tais dados, de maneira a garantir que eles não sejam utilizados para atender a interesses comerciais, contra a vontade dos cidadãos, ultrapassando limites éticos e legais.
Considerada um marco do consumidor moderno, a LGPD – LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS –, nº 13.853, sancionada no dia 09/07/2019 pelo Presidente da República Federativa do Brasil, Jair Bolsonaro, estabelece condições diferenciadas para entes públicos e privados nas tratativas de informações e condições para acesso aos dados cadastrais dos consumidores, definindo quais são os direitos das pessoas em relação aos seus dados, quem pode tratar essas informações e em quais condições, bem como definindo a estrutura institucional e poderes de fiscalização, por parte da Autoridade Nacional de Proteção de Dados – ANPD e do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade.
Essa Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, garantindo o respeito à privacidade, a autodeterminação informativa, a liberdade de expressão, de informação, de comunicação e de opinião, a inviolabilidade da intimidade, da honra e da imagem, o desenvolvimento econômico e tecnológico e a inovação, livre iniciativa, a livre concorrência e a defesa do consumidor; e os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.
Para melhor entender, a LGPD foi aprovada pelo Congresso Nacional em julho/2018, com alguns vetos do então Presidente Michel Temer, que, em dezembro do mesmo ano, enviou ao Congresso uma Medida Provisória, de nº 869, com sugestão de alterações. A MP foi aprovada em maio/2019 com alteração de vários trechos e recentemente sancionada pela Lei 13.853/19.
A publicação da lei de referência à proteção de dados pessoais, que altera a Lei 13.709, de 14/08/2018, foi amplamente comemorada pelo setor econômico da área de TI, em razão dos vetos da norma que criou a ANPD, conforme aquela que dizia respeito à revisão de decisões automatizadas – que definem, desde a retirada de um determinado conteúdo em página como o Facebook, à autorização automática de crédito a uma determinada pessoa.
No veto, o Presidente Jair Bolsonaro considerou desnecessária a revisão feita por um ser humano às automatizações, o que antes havia sido entendido, pelo Congresso Nacional, como procedimento necessário para os fins de se evitar eventuais erros sistemáticos e autônomos. Tema amplamente questionado pelas entidades da Sociedade Civil.
Ponto controverso do veto presidencial que, também, tem sido amplamente questionado pelas agências regulatórias de proteção ao consumidor diz respeito à derrubada das punições que poderiam ser aplicadas pela Autoridade Nacional de Proteção de Dados – ANPD caso um determinado ente responsável pelo tratamento de dados violasse prerrogativa da Lei, que sujeitaria, desde a interrupção parcial do funcionamento do banco de dados (por seis meses, prorrogável por igual período) à proibição parcial e total de atividades relacionadas ao tratamento de dados.
Existia, ainda, a possibilidade de aplicação de punições pela ANPD (órgão regulador responsável pela normatização, fiscalização de agentes públicos e privados e punição de violações constatadas) a órgãos públicos. Tal previsão foi vetada pelo Presidente da República.
Esse ponto, que trata da impossibilidade de sanção mais contundente, mantendo-se apenas a aplicação de multa, destaca-se como grande preocupação de especialistas de atuação do Direito Público e entidades da Sociedade Civil que alertam para a possibilidade de descumprimento, pelas empresas que usam dados pessoais, que estarão sujeitas a ignorar a Lei, em virtude da sanção da multa ser ínfima ante a não possibilidade de bloqueio e suspensão do funcionamento do banco de dados.
Alertam que os dispositivos retirados pelos vetos do Presidente enfraquecem a Lei, retirando direitos dos consumidores e abrindo espaço para o abuso no tratamento dos dados pelas agências que usam os dados pessoais, sujeitando a um retrocesso nas discussões amplamente travadas no Congresso Nacional, ignorando-se as discussões e os posicionamentos pautados em audiência pública, prevalecendo apenas o interesse econômico em detrimento da defesa dos direitos dos cidadãos.
A nova Lei traz as hipóteses que autorizam o tratamento de dados pessoais, como consentimento, cumprimento de obrigação legal ou regulatória do controlador, execução de contrato ou procedimentos preliminares em que o titular dos dados é parte e a pedido deste, interesse legítimo do controlador ou de terceiros e proteção ao crédito, bem como as sanções cabíveis na eventualidade de descumprimento, criando regras claras sobre os processos de coleta, armazenamento e compartilhamento dessas informações, ajuda a promover o desenvolvimento tecnológico na sociedade e a própria defesa do consumidor.
A norma é aplicável a todos os setores da economia, com abrangência extraterritorial. Entende-se, portanto, que toda empresa que tiver negócios no Brasil deverá se adequar à nova Lei. Nos casos em que a utilização de dados pessoais for baseada no consentimento do consumidor, o controlador deverá manter documentação comprobatória da sua obtenção em conformidade com a Lei, cabendo aos titulares retificar, cancelar ou até solicitar a exclusão desses dados. A notificação de qualquer incidente será obrigatória à ANPD.
Para o cumprimento dos requisitos impostos pela referida Lei, de maneira que a LGPD seja atendida por todos os departamentos de uma determinada sociedade, minimizando eventuais riscos e impactos negativos decorrentes da utilização incorreta de dados protegidos, devem ser observadas as seguintes informações:
- as organizações devem estabelecer um Comitê de Segurança da Informação para analisar os procedimentos internos;
- o levantamento de quais situações devem ser corrigidas pela empresa, de forma em que seja possível restabelecer a segurança e preservação desses dados;
- implementação das medidas para proteger os dados pessoais na base da empresa. Elas podem ser de segurança, técnicas e administrativas, que evitam, combatem ou minimizam a perda ou indisponibilidade de ativos de informação devido a ameaças que atuam sobre algumas vulnerabilidades;
- proteção de dados através de produto ou sistema incorporado diretamente às estruturas tecnológicas da sociedade, minimizando os riscos de manipulações externas;
- dever de cumprimento das regras por partes de parceiros de tecnologia, fornecedores e subcontratantes, que ficarão subordinados ao cumprimento da Lei de forma solidária;
- a Lei prevê sanções para quem não tiver boas práticas. Incluem advertência e multas podem variar desde 2% do faturamento do ano anterior até R$ 50 milhões de reais, passando por penalidades diárias. A novidade ficou por conta do veto das sanções punitivas com possibilidade de suspensão parcial ou até mesmo a proibição total das atividades relacionadas ao tratamento dos dados, conforme previsão anteriormente contida na Lei 13.709/18;
- As organizações públicas e privadas só poderão coletar dados pessoais se tiverem o consentimento do titular. Ou seja, a empresa deve solicitar a autorização do cliente de maneira clara para que ele saiba o que vai ser coletado, para quais fins e se haverá compartilhamento. Se houver mudança de finalidade ou repasse de dados a terceiros, um novo consentimento deverá ser solicitado. O usuário poderá, sempre que desejar, revogar a sua autorização, assim como pedir acesso, exclusão, portabilidade, complementação ou correção dos dados.
Para os profissionais da área jurídica, é inegável o avanço no que diz respeito à proteção dos direitos fundamentais e proteção de dados pessoais dos indivíduos. Todavia, o titular de dados que se sentir impactado por algoritmos, em decorrência de eventual sistema de revisão automatizada que lhes sujeite a processos discriminatórios ou prejuízos comprovadamente ocasionados pela automatização, em razão da impossibilidade de revisão por um ser humano, deverá recorrer à justiça para fazer valer o direito de auditar as informações da forma mais justa e compatível com a situação, garantindo a prática da transparência e proteção de dados.