INTRODUÇÃO
A Lei nº 13.709, de 14 de agosto de 2018, a Lei Geral de Proteção de Dados Pessoais (LGPD), representa um marco regulatório sobre o tratamento de dados pessoais. Um dos seus pilares é a proteção desses dados, envolvendo conceitos que remetem a atividades relacionadas à segurança da informação, à governança de dados e à gestão de riscos.
O direito em questão já encontrava previsão no ordenamento jurídico brasileiro, com status de direito fundamental, como previsto na Constituição Federal em seu artigo 5º, inciso X, (inviolabilidade da intimidade e da vida privada), porém foi enaltecido com a promulgação da LGPD.
Importante ressaltar que o dispositivo legislativo se aplica, exclusivamente, à proteção dos dados de pessoas físicas, sendo que cabe à União legislar sobre a proteção de dados pessoais.
A aplicação da LGPD se dá no território nacional, atingindo todos os setores que lidam com dados pessoais, especialmente na área de prestação de serviços e fornecimento de mercadorias, sendo que são considerados somente os dados coletados em território nacional.
Além disso, a Autoridade Nacional de Proteção de Dados (ANPD) é o órgão responsável por fiscalizar e garantir o cumprimento da lei, podendo aplicar sanções que vão desde advertências até multas severas em caso de descumprimento.
CONCEITOS PRINCIPAIS
A LGPD define tratamento como toda operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Nesse sentido, é importante compreender alguns dos principais conceitos abordados pela LGPD, tais como:
a) Dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
b) Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
c) Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
d) Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
e) Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
f) Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
CASOS EM QUE NÃO SE APLICA A LGPD
Além de compreender as estipulações e requisições da LGPD, se faz importante tomar conhecimento das situações em que ela deixa de ser aplicada. Nesse sentido, não se aplica a LGPD ao tratamento de dados:
a) Realizado por pessoa natural para fins exclusivamente particulares e não econômicos;
b) Realizados para fim exclusivamente: jornalístico, artístico, acadêmicos, de segurança pública, de defesa nacional, de segurança do Estado, de atividades de investigação e de repressão de infrações penais; e
c) Provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta Lei.
Primeiramente, a LGPD não se aplica ao tratamento de dados realizado por uma pessoa física para fins exclusivamente pessoais e não econômicos, como na organização de contatos pessoais ou na gestão de informações familiares.
Além disso, a Lei exclui de sua abrangência o tratamento de dados realizado para fins jornalísticos, artísticos ou acadêmicos, desde que respeitados outros direitos e garantias legais. Isso permite que essas atividades sejam exercidas com maior liberdade, sem as restrições impostas pela LGPD, mas ainda dentro do marco regulatório geral que protege outros direitos, como a privacidade e a honra.
A LGPD também não se aplica ao tratamento de dados pessoais realizado para fins de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais. Nesses casos, outras legislações específicas e marcos regulatórios setoriais são aplicáveis, e a proteção dos dados pessoais é equilibrada com a necessidade de proteger a sociedade e o Estado.
Por fim, dados anonimizados, que não podem ser revertidos para identificar um indivíduo, estão fora do escopo da LGPD, desde que a anonimização seja irreversível. Se houver a possibilidade de “reidentificação”, a proteção da LGPD volta a ser aplicada.
Essas exceções visam equilibrar a proteção dos dados pessoais com outros interesses legítimos, permitindo que certas atividades essenciais sejam conduzidas sem as restrições da LGPD, mas sempre dentro de um quadro legal que visa proteger direitos fundamentais.
QUAIS SÃO AS HIPÓTESES PARA TRATAMENTO DE DADOS?
O artigo 7º da LGPD estabelece as hipóteses em que poderá ser realizado o tratamento de dados. De forma geral, o tratamento de dados é realizado apenas com o consentimento do titular cedente, exceto nas situações abaixo mencionadas:
a) Para cumprimento de obrigação legal ou regulatória pelo controlador;
b) Para execução de políticas públicas;
c) Para estudo por órgão de pesquisa;
d) Quando necessário, para execução de contrato;
e) Para o exercício regular de diretos em processo judicial, administrativo ou arbitral;
f) Para proteção da vida;
g) Para tutela da saúde;
h) Para atender o interesse legítimo do controlador ou terceiro, sem prejuízo aos direitos e liberdades fundamentais do titular; e
i) Para proteção do crédito.
Nas hipóteses acima mencionadas, não se faz necessário coletar o consentimento do titular de dados, considerando a finalidade, a boa-fé e o interesse público que justificam a sua disponibilização.
As eventuais dispensas de consentimento não isentam os agentes de tratamento das demais obrigações previstas na LGPD.
Além disso, os dados considerados previamente públicos, também se encontram na lista de exceções de coleta do consentimento. A título de exemplo, pode-se destacar os dados encontrados na internet, que foram tornados manifestadamente públicos pelo titular.
Em outro viés, diferentemente dos dados previamente divulgados pelo titular, não se encontram abarcados na lista de exceções os dados que possuem natureza pública, como registros em cartório, DETRAN, CRI e Junta comercial. Nestes casos, se faz necessária à coleta do consentimento expresso do titular.
CONSENTIMENTO: COMO E QUANDO DEVE SER COLETADO?
A coleta de consentimento do titular de dados é um dos princípios fundamentais da Lei Geral de Proteção de Dados Pessoais, sendo imprescindível que a coleta seja realizada em qualquer situação de tratamento de dados pessoais. O consentimento do titular deverá ser fornecido por escrito, ou por outro meio que demonstre a manifestação de vontade do titular. Caso o consentimento seja fornecido por escrito, deverá constar em cláusula destacada das demais cláusulas contratuais.
O consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação.
Na hipótese em que o consentimento é requerido, se houver mudanças da finalidade para o tratamento de dados pessoais não compatíveis com o consentimento original, o controlador deverá informar previamente o titular sobre as mudanças de finalidade, podendo o titular revogar o consentimento, caso discorde das alterações.
Em caso de necessidade de compartilhamento dos dados pessoais consentidos com outros agentes, será necessário obter consentimento específico do titular, ressalvadas hipóteses legais de dispensa do consentimento.
QUANDO TERMINA O TRATAMENTO DE DADOS?
Nos termos do artigo 15 da Lei Geral de Proteção de Dados Pessoais, deverá ser estabelecido prazo razoável para o armazenamento e tratamento dos dados pessoais cedidos pelo titular, na medida que necessário para realização do tratamento. Dessa forma, o término do tratamento dos dados se dará nas seguintes circunstâncias:
a) Quando verificada que a finalidade do tratamento foi alcançada ou que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada;
b) Fim do período de tratamento;
c) Comunicação do titular, no exercício do seu direito de revogação do consentimento; e
d) Determinação da autoridade nacional, quando houver violação ao disposto na LGPD.
Considera-se que, ao fim do tratamento dos dados pessoais, esses serão devidamente eliminados, no âmbito e nos limites técnicos. No entanto, resta autorizada a conservação dos dados pessoais para as seguintes finalidades:
- Cumprimento de obrigação legal ou regulatória pelo controlador;
- Estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
- Transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos na LGPD; ou
- Uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.
“SOU TITULAR DE DADOS, QUAIS OS MEUS DIREITOS?”
Além dos direitos assegurados pela Constituição Federal Brasileira de 1988, a LGPD prevê, em seu artigo 18, que o titular dos dados pessoais tem direito a obter do controlador, em relação aos dados tratados, a qualquer momento, mediante requisição:
a) Confirmação da existência de tratamento: Na qual a resposta do controlador deverá ser por meio de declaração clara e completa, que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, observados os segredos comercial e industrial, fornecida no prazo de até 15 (quinze) dias, contado da data do requerimento do titular;
b) Acesso aos dados;
c) Correção de dados incompletos, inexatos ou desatualizados;
d) Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD;
e) Eliminação dos dados;
f) Informação sobre a possibilidade de não fornecer consentimento; e
g) Revogação do consentimento.
DOS AGENTES DE TRATAMENTO E DO OPERADOR
Na forma da Lei Geral de Proteção de Dados Pessoais, são agentes de tratamento o controlador e o operador. A diferença entre operador e controlador reside no poder decisório. Assim, o controlador é quem detém o poder de decisão, enquanto o operador apenas utilizará os dados pessoais e realizará as operações definidas pelo controlador.
Os agentes de tratamento poderão ser pessoas físicas ou jurídicas, sendo que, quando for pessoa jurídica, poderá ora ser controladora, ora ser operadora, conforme sua atuação e poder decisório em cada operação de tratamento de dados que realizar.
Quando a função de operador e controlador for distinta, recomenda-se que seja firmado contrato entre as partes, a fim de estabelecer limites quanto à atuação do operador, bem como, responsabilidades relacionadas à proteção de dados pessoais.
No viés, importante ressaltar, que quando o operador não segue as instruções lícitas do controlador, ele responderá solidariamente pelos danos causados, salvo se não tiver realizado o tratamento que lhe imputado, quando não houver violação à lei, ou quando o dano decorrer de culpa exclusiva do titular ou de terceiros.
Ainda, dispõe-se da posição de Encarregado – Data Protection Officer, sendo este uma pessoa física ou jurídica indicada pelo controlador e pelo operador para atuar como canal de comunicação entre o controlador, os titulares de dados e a Autoridade Nacional de Proteção de Dados (ANPD)
A identidade e as informações de contato do encarregado devem ser divulgadas publicamente, de modo claro e objetivo, de preferência no site do controlador. Apesar de deter responsabilidades importantes quanto a proteção de dados, a LGPD não considera o encarregado como um agente de tratamento.
Constituem atividades do encarregado:
a) Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
b) Receber comunicações da autoridade nacional e adotar providências;
c) Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
d) Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
O encarregado não terá responsabilidade quanto aos danos causados em razão do tratamento de dados e está legalmente autorizado a atuar para vários controladores distintos.
FISCALIZAÇÃO E SANÇÕES ADMINISTRATIVAS
Introduzidas em agosto de 2021, as sanções administrativas impostas aos agentes de tratamento de dados infratores, aplicadas pela autoridade nacional, são:
a) Advertência, com indicação de prazo para adoção de medidas corretivas;
b) Multa simples, de até 2% do faturamento da pessoa jurídica de direito privada, limitada até R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
c) Multa diária;
d) Publicização da infração após devidamente apurada e confirmada a sua ocorrência;
e) Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
f) Eliminação dos dados;
g) Suspensão parcial do funcionamento do banco de dados ou suspensão da atividade de tratamento, pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
h) Proibição total ou parcial do exercício de atividades relacionadas a tratamento de dados.
As sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto.
Essas sanções não substituem a aplicação de sanções administrativas, civis ou penais definidas em legislação específica.
A APLICAÇÃO DA LGPD NAS RELAÇÕES DE TRABALHO
Tanto a Lei Geral de Proteção de Dados Pessoais, quanto demais legislações trabalhistas vigentes, estabelecem que o empregador detém responsabilidade jurídica em relação aos dados fornecidos pelos empregados.
Nos termos dos artigos 186 e 927 do Código Civil Brasileiro, a empresa está sujeita a eventual reparação por dano moral ou material. No entanto, com o advento da LGPD, o empregador, assumindo também condição de controlador, deve se atentar aos eventuais vazamentos de dados dos candidatos À vaga de emprego ou dos seus empregados.
Nesse sentido, desde a fase pré-contratual até a fase pós-contratual, se faz necessário que o empregador adote medidas para abarcar o tratamento dos dados pessoais em conformidade com as disposições da LGPD.
CONCLUSÃO: QUAIS MEDIDAS PRÁTICAS DEVEM SER TOMADAS?
Diante do exposto, entende-se que a aplicação da Lei Geral de Proteção de Dados (LGPD) nas empresas é fundamental para garantir a privacidade e a segurança das informações pessoais dos indivíduos, promovendo a transparência e o respeito aos direitos dos titulares de dados.
Visando a adoção de medidas concretas para boas práticas, a elaboração de documentos como o Relatório de Impacto à Proteção de Dados Pessoais, o Termo de Consentimento para Tratamento de Dados e o Termo de Ciência para Tratamento de Dados é essencial nesse processo.
Ademais, para adequar-se à Lei Geral de Proteção de Dados (LGPD) no âmbito trabalhista e regularizar o tratamento de dados de funcionários é essencial que a empresa realize um mapeamento completo dos dados pessoais dos funcionários, identificando quais informações são coletadas, como são armazenadas e quem tem acesso a elas.
Em seguida, deve-se estabelecer uma política interna de proteção de dados que inclua orientações claras sobre a coleta, o uso e o compartilhamento dessas informações, além de garantir que todos os funcionários recebam treinamento adequado sobre a LGPD e suas implicações.
Além disso, é fundamental criar mecanismos de transparência, como uma comunicação clara com os funcionários sobre a finalidade do tratamento de seus dados e obter consentimento quando necessário, a fim de estabelecer um processo para atender às solicitações de acesso, retificação e exclusão de dados, garantindo que os direitos dos funcionários sejam respeitados e que a empresa esteja em conformidade com as exigências da LGPD.
Esses documentos, conjuntamente às demais medidas cabíveis, são instrumentos-chave para a construção de uma cultura de proteção de dados e para a redução de riscos legais e reputacionais para as organizações.
A Holz Cidral Advogados Associados está preparada para oferecer assessoria completa para a adequação de sua empresa à Lei Geral de Proteção de Dados (LGPD).
Entre em contato para mais informações!
Estar em conformidade com a LGPD é investir na segurança, confiança e sucesso a longo prazo da sua empresa!
Joana Hardt
Estagiária de Direito
Lucas Cidral
OAB/ 46.240