Promovendo a Cultura da Proteção de Dados – Parte I
A LEI Nº 13.709
O principal objetivo da lei nº 13.709, de 14 de agosto de 2018, é proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural (BRASIL, 2018), conforme o Art. 1º.
O Art. 2º enumera os fundamentos da disciplina de proteção de dados e entre estes destacamos:
I – o respeito à privacidade;
IV – a inviolabilidade da intimidade, da honra e da imagem;
VII – os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.
O Art. 5º faz considerações muito importantes para entendermos o que de fato deve ser protegido e os atores envolvidos, sendo:
I – dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
II – dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
V – titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
VI – controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
VII – operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
VIII – encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD[1]);
IX – agentes de tratamento: o controlador e o operador;
XIX – autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.
Fica então como responsabilidade da instituição eleger um funcionário determinado como encarregado, ou seja, a pessoa que responderá legalmente sobre os dados pertencentes a sua instituição mediante aos questionamentos dos titulares e da ANPD.
A lei também se refere a anonimidade dos dados, onde técnicas para dificultar a identificação da pessoa natural seriam aplicadas a esses dados. Porém, é difícil garantir essa anonimidade visto que é possível reverter esse processo e assim identificar a pessoa e seus referidos dados.
No geral para que haja o tratamento de dados é necessário o consentimento do titular, conforme o Art.8º (BRASIL, 2018): “O consentimento previsto no inciso I do art. 7º desta Lei deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular.
§ 1º Caso o consentimento seja fornecido por escrito, esse deverá constar de cláusula destacada das demais cláusulas contratuais.
§ 5º O consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação, nos termos do inciso VI do caput do art. 18 desta Lei.”
O tratamento de dados sensíveis somente poderá ser realizado com consentimento do tutelar ou responsável. Para as empresas que lidam com dados de menores de idade é importante destacar que a Seção III da lei é dedicada ao tratamento de dados pessoais de crianças e adolescentes. Para realizar o tratamento de dados desse público é necessário que haja o consentimento dado por, pelo menos, um dos pais ou pelo responsável legal.
No Art. 14 (BRASIL, 2018), § 2º diz que:
“No tratamento de dados de que trata o § 1º deste artigo, os controladores deverão manter pública a informação sobre os tipos de dados coletados, a forma de sua utilização e os procedimentos para o exercício dos direitos a que se refere o art. 18 desta Lei.”
Ou seja, prover meios para garantir ao titular dos dados o acesso, correção, anonimização, bloqueio, eliminação, portabilidade e revogação do consentimento. A lei impede que dados das crianças sejam repassados para terceiros sem o devido consentimento. E também que sejam armazenados somente os dados estritamente necessários à atividade da instituição que deseja coletar os mesmos.
O Art. 42. descreve que:
“O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo. (BRASIL, 2018)”
Por isso, é preciso investir em segurança e boas práticas, conforme descrito no Capítulo VII da Lei:
“Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito” e “Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares. (BRASIL, 2018)”
A lei permite que as instituições elaborem seus próprios métodos de boas práticas e governança conforme o seguinte artigo descreve:
“Art. 50. Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais. (BRASIL, 2018)”
E para finalizar essa seção, o Art. 52 lista as sanções administrativas aplicáveis em razão das infrações cometidas às normas previstas nesta Lei:
I – advertência, com indicação de prazo para adoção de medidas corretivas;
II – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
III – multa diária, observado o limite total a que se refere o inciso II;
IV – publicização da infração após devidamente apurada e confirmada a sua ocorrência;
V – bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
VI – eliminação dos dados pessoais a que se refere a infração;
X – suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
XI – suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
XII – proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Assim, vimos os principais pontos dessa Lei e já começamos a refletir sobre as possibilidades de ação que devemos tomar nos nossos processos diários que lidam com dados. Na parte final, sugerimos uma estratégia para iniciar a tarefa de implantação de um ambiente em que a proteção de dados faça parte da cultura da empresa.
Promovendo a Cultura da Proteção de Dados – Parte III
[1]A ANPD – Autoridade Nacional de Proteção de Dados – foi criada através da Medida Provisória 869/2018, convertida na Lei n° 13.853/2019.