Entra em vigor hoje a Lei Geral de Proteção de Dados. Empresas devem se adaptar.

Contexto da Lei Geral de Proteção de Dados

Foi publicada hoje no DOU a Lei nº 13.709/18, já apelidada de Lei Geral de Proteção de Dados (“LGPD”). O texto foi sancionado pela Presidência no último dia do prazo, e como especulava-se, alguns de seus dispositivos foram vetados; em razão do prazo de vacância, a LGPD somente terá eficácia a partir de 17.2.2020.

A LGPD tramitava na Câmara dos Deputados desde junho/12, a passos lentos; em maio de 2018, após a entrada em vigor do General Data Protection Regulation (“GDPR” – conjunto de regras sobre privacidade de dados editada pela União Europeia), foi decidida a tramitação do projeto em regime de urgência, o que levou à aprovação do texto pelo Plenário da Câmara em 29.5.2018 e pelo Plenário do Senado em 10.7.2018.

O veto da Presidência recaiu sobre dispositivos que tratavam (i) da vedação ao compartilhamento dos dados pessoais no âmbito do Poder Público com pessoas jurídicas de direito privado; (ii) do impedimento à transferência de dados pessoais do Poder Público a entes privados em face de previsão legal e respaldo em contratos, convênios ou instrumentos congêneres; (iii) da determinação de publicidade do uso compartilhado de dados entre órgãos e entidades de direito público; e (iv) da imposição de sanções de suspensão e/ou proibição das atividades de tratamento ou manutenção de banco de dados.

A Presidência também vetou a criação da Autoridade Nacional de Proteção de Dados (“ANPD”). De acordo com as razões expostas, haveria vício de iniciativa do Poder Legislativo em criar despesas ao Poder Executivo. Dessa forma, um futuro projeto de lei de iniciativa do Poder Executivo criará e disciplinará a atuação da ANPD.

Qual a importância da LGPD?

A criação da LGPD dá ao Brasil uma moderna e sofisticada legislação sobre a proteção de dados pessoais; com inspiração no GDPR, a norma entra no ordenamento jurídico com o objetivo de inserir o país no grupo de pouco mais de 120 países que contam com leis semelhantes – Argentina (1994), Uruguai (2008), França (1978), Estados Unidos (1986), Chile (1999), Alemanha (1977) e Peru (2011).

A proteção trazida pela LGPD é aplicável a todas as operações de tratamento de dados, independentemente do meio ou do país, desde que os dados sejam coletados, tratados ou ofertados e utilizados no território nacional. A LGPD resolve, assim, o problema encontrado pelo Poder Judiciário em não obter a cooperação de empresas estrangeiras, como Google, Twitter e WhatsApp, que alegavam a ausência de jurisdição para negar o fornecimento de dados solicitados pela Justiça nacional.

Apesar de ser uma das 10 maiores economias do mundo, não possuir uma lei que regulamentasse os dados pessoais no âmbito digital impedia o ingresso do Brasil na Organização para Cooperação e Desenvolvimento Econômico (“OCDE”), o que o colocava em segundo plano no cenário do comércio internacional.

A existência da LGPD e a posterior criação da ANPD abrirão um fluxo comercial com proteção de dados pessoais entre o Brasil e mercados mundiais de membros da OCDE que somam mais de 1,3 bilhão de pessoas.

As inovações e mudanças trazidas pela LGPD, no entanto, somente surtirão efeitos depois que os procedimentos previstos na norma forem regulamentados e implementados.

O que muda com a LGPD?

A LGPD é extensa e regula pormenorizadamente “…o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado”. O Capítulo I é inteiramente dedicado às disposições gerais da norma, com a explicação do que são cada um de seus conceitos e do que é, ou não, objeto de tutela.

É importante que se fixem dois pontos antes de se iniciar a leitura da norma ou de qualquer texto sobre o assunto. O primeiro, é que a proteção conferida pela LGPD não se aplica ao tratamento de dados realizados para fins (i) exclusivamente particulares; (ii) acadêmicos; (iii) jornalísticos e artísticos; (iv) de segurança pública; (v) de defesa nacional; (vi) de segurança do Estado; e (vii) de investigação e/ou repressão de infrações penais.

O segundo, por outro lado, é a definição de “tratamento” dada pela LGPD, uma vez que toda a proteção jurídica gira em torno dessa noção. Segundo o artigo 5º, inciso X, tratamento é “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”.

Os “dados pessoais” tutelados pela LGPD consistem em quaisquer informações relacionadas a pessoa natural identificada ou identificável, como nome, apelido, endereço, e-mail, telefone e documentos. De acordo com a norma, o tratamento de tais dados somente ocorrerá em situações específicas, como (i) mediante consentimento do titular; (ii) para o cumprimento de obrigação legal ou regulatória; (iii) para o exercício regular de direitos em processo judicial, administrativo ou arbitral; (iv) para execução de contratos ou procedimentos; e (v) para a proteção do crédito.

Com relação ao consentimento do titular, a LGPD exige que ele seja livre e inequívoco, com a expressa concordância para uma finalidade específica. Vale dizer: a concordância do titular para a “classificação” de seus dados, por exemplo, não permite que os mesmos sejam “reproduzidos” e “transmitidos”. Em sendo por escrito, o consentimento “…deverá constar de cláusula destacada das demais cláusulas contratuais”, “e as autorizações genéricas para o tratamento de dados pessoais serão nulas”.

Essas previsões impactarão diretamente as atividades de comércio varejista eletrônico, por exemplo, nos quais o botão “aceito” dos termos e condições deverá ser complementado com previsões acerca do tratamento dos dados pessoais fornecidos pelos consumidores.

A LGPD abre espaços delicados ao tratar do “legítimo interesse” das empresas. O artigo 10, por exemplo, prevê que o legítimo interesse do controlador (pessoa a quem competem as decisões sobre o tratamento dos dados) poderá fundamentar o tratamento que tenha por objeto finalidades legítimas, como (i) apoio e promoção de suas atividades; e (ii) prestação de serviços que beneficiem o titular.

Lida em conjunto com o artigo 7º, inciso X, e com o artigo 20, verifica-se a tutela dada pela LGPD ao Cadastro Positivo. O tema, que ainda é polêmico e está em tramitação no Congresso Nacional, prevê a criação de um “currículo financeiro” com o histórico de pagamentos realizados pela pessoa. Durante a tramitação legislativa da LGPD, o Banco Central do Brasil e o Ministério da Fazenda demonstraram preocupação com o funcionamento do Cadastro Positivo, uma vez que a exigência de prévio consentimento enfraqueceria as informações inseridas no banco de dados.

A LGPD também define como “dados pessoais sensíveis” as informações sobre raça, religião, opinião política, filiação a sindicato ou associações, doenças e qualquer material genético ou biológico. Para tais dados, a norma impõe tutela ainda mais restrita, somente permitindo seu tratamento, dentre outros pontos, (i) com consentimento específico e destacado; (ii) para realização de estudos por órgãos de pesquisa, garantida a anonimização; e (iii) para proteção da vida ou da incolumidade física.

Os dados pessoais sensíveis ganham importância em face de programas de estudo na área da saúde, que dependem das informações tratadas para desenvolvimento de seus projetos. Ao mesmo tempo em que veda “a comunicação ou o uso compartilhado (…) referentes à saúde com o objetivo de obter vantagem econômica”, a LGPD assegura o acesso, aos órgãos de pesquisa da área de saúde pública, das bases de dados pessoais, que deverão ser “…tratados exclusivamente dentro do órgão e estritamente para a finalidade de realização de estudos e pesquisas (…) que incluam, sempre que possível, a anonimização ou pseudonimização…”.

Empresas que lidam com comércio internacional precisarão se atentar para o Capítulo V, que permite a transferência internacional de dados apenas nas situações em que (i) a tutela dada pelo país de destino assegurar grau de proteção equivalente ao nacional; (ii) existir autorização da ANPD; ou (iii) existir contrato ou compromisso assumido entre os envolvidos no tocante à proteção ao tratamento dos dados.

O artigo 50 da LGPD permite a formulação de regras de boas práticas e de governança por parte dos entes envolvidos no tratamento dos dados, individualmente ou por meio de associações, em que será permitida a formulação de “…ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos…”.

A existência de uma das regras acima referidas pode beneficiar os entes caso alguma infração seja cometida. A LGPD prevê as sanções administrativas de advertência, multa, publicização e bloqueio e eliminação dos dados.

Com relação à multa, que pode ser simples ou diária, ela será calculada com base no “…faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício”. Para que ela seja aplicada, no entanto, a ANPD deverá observar, nos termos do artigo 52, § 1º, dentre outros parâmetros, a adoção (i) “…de mecanismos e procedimentos internos capazes de minimizar o dano”; (ii) “…de política de boas práticas e governança”; e (iii) “…de medidas corretivas”.

Cabe, por fim, destacar o veto trazido pela Presidência sobre os artigos 55 a 59, que dispunham sobre a criação da ANPD. Apesar de obstar a imediata criação da agência, as razões de veto indicam que um projeto de lei de iniciativa do Poder Executivo será proposto com o objetivo de criar e regular a ANPD.

O órgão é essencial para a implementação da LGPD, sendo indispensável que ele tenha amplas medidas regulatórias à sua disposição para evitar o risco de fragmentação do tema entre os Tribunais e outros órgãos da Administração Pública; munida de poderes, a ANPD poderá atuar ativamente para assegurar o cumprimento da legislação.

A sanção da LGPD foi apenas o início de uma série de discussões que o tema fomentará no mundo jurídico nos próximos meses, sendo essencial acompanhar a criação da ANPD e a regulamentação do assunto para que nenhum ente seja pego desprevenido a partir de fevereiro de 2020; o prazo parece longo, mas o processo de adaptação deve consumir meses para ser implementado.