LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS (LGPD)
A Lei Geral de Proteção de Dados Pessoais (LGPD) entrou em vigor no dia 18/09/2020 e é um marco legal que dispõe sobre o tratamento de dados pessoais com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade dos usuários por meio de práticas transparentes e seguras.
Os dados pessoais somente podem ser coletados mediante consentimento escrito e expresso de seu titular, e referida autorização pode ser revogada a qualquer momento, obrigando a empresa a criar opções para o usuário visualizar, corrigir e excluir esses dados.
Agora as empresas, na figura de agentes de tratamento dos dados pessoais, possuem o dever de verificar se há necessidade e finalidade específica para coletar os dados.
A lei traz algumas hipóteses para o tratamento dos dados pelos agentes, dentre as quais, para o cumprimento de obrigação legal e regulatória pelo responsável pelo tratamento, o que aplica-se, por exemplo, às instituições de ensino (escolas e universidades), que devem manter armazenados os registros dos estudantes, ainda que ex-alunos, por determinação do Ministério da Educação, comprovada, neste caso concreto, uma necessidade e uma finalidade específica que justifica o tratamento dos dados.
Neste caso específico de prestação de serviço educacional, alguns dados pessoais não podem ser excluídos pelas escolas e universidades mesmo que o ex-aluno requeira expressamente sua exclusão, uma vez que há determinação regulatória do Ministério da Educação neste sentido.
Nos casos de contratos de adesão, que são aqueles celebrados entre fornecedor e consumidor, quando o tratamento de dados pessoais for condição para o fornecimento de produto ou de serviço, o titular deverá ser informado com destaque sobre este fato.
A nova lei traz também o conceito de dados sensíveis, que recebem tratamento diferenciado, sendo aqueles sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
Verificada que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada, ou, ainda, se houver comunicação do titular, no exercício de seu direito de revogação do consentimento, deverá o controlador que realiza o tratamento dos dados proceder com a eliminação destes, autorizada a conservação em casos específicos, tal qual para cumprimento de obrigação legal ou regulatória.
Observa-se, portanto, que a partir de agora, o agente que trata os dados pessoais, também denominado controlador ou operador, não pode manter em seu banco de dados os dados pessoais de titular de maneira desnecessária, injustificada e por período indeterminado de tempo, assim como, não poderá compartilhar referidos dados sem consentimento específico do titular.
Outra obrigação imposta aos agentes de tratamento de dados pessoais é de adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, bem como comunicar, em prazo razoável, à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
Sendo assim, imperioso se faz que políticas de adequação e implementação da LGPD sejam tomadas pelas empresas no sentido de realizar a mensuração da exposição à nova lei.
É de suma importância as empresas identificarem os tipos de dados coletados e os meios de tratamento para que seja feita a gestão do consentimento do titular, bem como criação de banco de dados para controle dos pedidos dos titulares destes dados e a indicação de quem serão os controladores (a quem competem as decisões referentes ao tratamento de dados pessoais), operadores (que realizam o tratamento de dados pessoais em nome do controlador) e o encarregado que será um canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
Uma decisão importante a ser tomada pelos empresários diz respeito ao modelo de condução do projeto da LGPD, ou seja, se serão empregados internos da empresa quem vão se responsabilizar pela implementação da nova lei, ou então se esta responsabilidade será delegada a prestadores de serviços.
Referida decisão depende do tamanho da equipe, dos colaboradores e da disponibilidade destes, sendo que, na prática, são raros os projetos conduzidos 100% internamente, mas também não funcionam os projetos 100% delegados a prestadores de serviços, ante a imperiosa necessidade de criação de cultura e políticas de boa governança dentro da própria empresa.
Indispensável também a realização, revisão e criação de documentos (contratos, termos, políticas de privacidade) para uso interno e externo dos dados em tratamento, bem como a criação de ferramentas de anonimização como um processo que oculta dos textos os dados pessoais dos titulares, como nomes, endereços e outros, o que é uma forma simples de implementar a LGPD na prática, e que vai diminuir muito o tempo desperdiçado em procedimentos e justificativas para o tratamento de dados.
Importante citar que a LGPD possui capítulo próprio que prevê as penalidades em caso de infrações cometidas às previsões da lei, que vão desde simples advertência até multa de até 2% do faturamento da pessoa jurídica no seu último exercício.
Embora o órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional, denominada Autoridade Nacional de Proteção de Dados (ANPD), esteja neste momento na fase de estruturação regimental e criação de quadro de cargos, bem como a parte da Lei referente especificamente às sanções administrativas só entrem em vigor em 1º de agosto de 2021, já há no Poder Judiciário condenações de agentes de tratamento que não respeitam as previsões da LGPD.
A magistrada da 13ª Vara Cível de São Paulo proferiu a primeira decisão a se valer da LGPD de que se tem conhecimento no estado de São Paulo.
Na sentença, proferida no dia 29/09/2020, a magistrada condenou uma companhia do ramo imobiliário, a indenizar em R$ 10 mil um cliente que teve informações pessoais enviadas a outras empresas sem seu consentimento, fundamentando que a violação a direitos previstos pela própria Constituição, tais como a honra, a privacidade, a autodeterminação informativa e a inviolabilidade da intimidade, gera o dever de indenizar.
No caso concreto, o autor do processo, titular dos dados pessoais, comprou um apartamento em novembro de 2018, e no mesmo ano começou a ser assediado por instituições financeiras e firmas de decoração, que citavam sua recente aquisição com a parte ré.
Constatado no processo que as instituições financeiras e firmas de decoração obtiveram os dados do autor pela própria companhia do ramo imobiliário, a Juíza observou que a ré compartilhou os dados pessoais do autor sem seu consentimento expresso e de forma injustificada, em fragrante violação da LGPD recentemente colocada em vigor em nossa sociedade.
Afirmou também que, além da LGPD, a ré violou o Código de Defesa do Consumidor e dispositivos da Constituição Federal, dentre os quais aqueles que preconizam o respeito à dignidade (Artigo 1º, III); construção de uma sociedade livre, justa e solidária (artigo 3º, I); e a promoção do bem de todos, sem preconceitos (3º, IV).
Veja-se, portanto, que o responsável que, em razão do exercício de atividade de tratamento de dados, causar dano patrimonial, moral, individual ou coletivo, é obrigado a reparar e o Juiz, no Processo Civil, poderá inverter o ônus da prova a favor do titular dos dados quando, a seu juízo, for verossímil a alegação, houver hipossuficiência para fins de produção de prova ou quando a produção de prova pelo titular resultar-lhe excessivamente onerosa.
A conclusão a que chegamos é que a criação de uma cultura de regras de boas práticas e de governança que estabeleçam procedimentos, normas de segurança, ações educativas e mitigação de riscos no tratamento de dados pessoais é a premissa básica da LGPD e sua implementação deve ser levada a sério por aqueles, pessoas físicas e/ou jurídicas, que tratam dados pessoais.
Informativo jurídico publicado no site cecbadvogados.com.br em 21/10/2020.
FONTES:
https://clickcompliance.com/lgpd-pratica-3-formas-implementar/
https://www.conjur.com.br/2020-set-30/compartilhar-dados-consumidor-terceiros-gera-indenizacao
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
