LEI GERAL DE PROTEÇÃO DE DADOS
Unidade 04
Raianny Lima Barros Interaminense
Silvia Cristina Da Silva
Unidade 4 | Introdução
O uso de dados nos negócios e políticas públicas se tornou imprescindível. Em vista disso, a Lei Geral de Dados Pessoais estabeleceu regras para as operações de tratamento de dados pessoais, com o afã de proteger a privacidade das pessoas.
Do mesmo modo, a legislação trouxe exigência de medidas capazes de trazer mais segurança aos titulares dos dados pessoais.
Fonte: Pixabay
Unidade 4 | Objetivos
Identificar e mensurar a repercussão da responsabilidade civil na proteção de dados;
Identificar as autoridades responsáveis pela fiscalização do uso inapropriado dos dados alheios;
Aplicar as regras e boas práticas de governança, que podem ser implementadas pelos agentes de tratamento;
Entender as hipóteses de sanções administrativas em caso de
descumprimento da LGPD.
A responsabilidade civil na Lei Geral de Proteção de Dados Pessoais
A Lei Geral de Proteção de Dados Pessoais, visando salvaguardar os direitos dos titulares, estabeleceu a responsabilidade do controlador e do operador nos casos em que o tratamento for considerado irregular e gerar danos. Veja o que dispõe o seu artigo 44.
Fonte: Pixabay
Sobre o tratamento irregular, Mello é certeiro ao pontuar que se trata de
“tratamento ilícito, toda operação que não corresponde com as expectativas do titular, levando em consideração um rol de circunstâncias que envolvem um cerne comum: práticas éticas e medidas de segurança” (MELLO, 2019, p. 209).
A responsabilização dos agentes de tratamento é reflexo da aplicação dos princípios da segurança e da prevenção, constantes no art. 6º, VII e VIII da LGPD, eis que estes determinam a adoção de medidas técnicas e administrativas de segurança para casos acidentais ou ilícitos e a antecipação dos riscos, com o fito de proteger os dados pessoais (BRASIL, 2018).
Percebe-se, portanto, que “o controlador deve ter da primazia à preservação da privacidade do titular por meio de medidas técnicas eficazes”, sob pena de ser responsabilizado pelos danos decorrentes do descumprimento dessa obrigação (MELLO, 2019, p. 210).
Reparação de danos e responsabilidade civil
Norma jurídica preexistente, podendo ser tal norma contratual ou extracontratual. A violação do direito gera a possibilidade para o ofendido requerer uma indenização por parte do ofensor, sendo que a ofensa pode ocorrer na modalidade patrimonial ou moral. (MELLO, 2019, p. 211-212)
Fonte: Pixabay
Infere-se que o artigo 42 da Lei nº 13.709/2018 trouxe esse tipo de responsabilidade para o controlador e o operador, em razão das obrigações que esses agentes possuem de proteger os dados pessoais através da aplicação integral das normas da Lei.
A responsabilidade civil, como dito, pode ser contratual ou extracontratual. Para saber mais sobre essas espécies, leia os artigos 389 e seguintes; e art. 186 e seguintes do Código Civil, os quais abordam a responsabilidade contratual e extracontratual, respectivamente.
De início, cumpre mencionar que há discussão acerca dos elementos necessários para a caracterização da responsabilidade civil. É que parte da doutrina defende que a culpa seria um requisito indispensável para a configuração da responsabilidade (TARTUCE, 2020).
Por outro lado, há quem defenda que a culpa não é um pressuposto da responsabilidade civil e que para a sua caracterização bastam três elementos, quais sejam (MELLO, 2019, p. 212): conduta humana, nexo de causalidade e dano.
Para Mello (2019), a justificativa da responsabilidade civil objetiva se encontra no art. 927, parágrafo único do Código Civil, que dispõe sobre a obrigação de reparação de dano independente de culpa, sempre quando for especificado em lei ou quando a atividade realizada significar riscos para terceiros, como é o caso do tratamento dos dados (BRASIL, 2002).
São três as hipóteses de exclusão da responsabilidade: quando os agentes não realizarem o tratamento; quando os agentes obedecerem à LGPD e quando o dano for causado exclusivamente por terceiro ou pelo titular dos dados.
Fiscalização
Inicialmente, cabe destacar que a Autoridade Nacional de Proteção de Dados Pessoais (ANPD) é responsável pela fiscalização da Lei Geral de Proteção de Dados Pessoais (LGPD), conforme previsão do inciso XIX, art. 5º da LGPD (BRASIL, 2018).
Fonte: Pixabay
Cumpre registrar que o processo administrativo disciplinar será instaurado pelo Ministro de Estado Chefe da Casa Civil da Presidência da República e “conduzido por comissão especial constituída por servidores públicos federais estáveis”, conforme preceitua o §1º do art. 55-E da LGPD (BRASIL, 2018).
Além disso, é o Presidente da República que irá decidir acerca do PAD, bem como determinar o afastamento preventivo do membro, quando recomendado pela comissão especial, nos moldes do §2º do art. 55-E, da LGPD (BRASIL, 2018).
O regimento interno da autoridade nacional de proteção de dados será feito pelo Conselho Diretor, o qual também será responsável pela indicação das pessoas para os cargos em comissão e das funções de confiança da ANPD, nomeadas pelo diretor presidente, nos termos do §2º do art. 55-G e art. 55-I da LGPD (BRASIL, 2018).
Funções da autoridade nacional
A autoridade nacional de proteção de dados pessoais possui funções extremamente importantes para o bom funcionamento das operações com dados.
Nesse contexto, Barros e Ferreira (2019) elencam como funções da ANPD as seguintes: fiscalização, legislativa, interpretação e integrativa.
Fonte: Pixabay
Confere à ANPD o dever de consultar e se articular aos demais órgãos e autarquias especializados, como agências reguladoras, na tentativa de corrigir falhas de mercado, sempre no interesse público. Essa articulação é relevante no momento em que confere maior legitimidade e tecnicidade ao processo regulatório. (BARROS; FERREIRA, 2019, p. 264-265)
O Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (CNPD) integra a estrutura da ANPD e é “responsável pela elaboração de estudos e realização de debates e audiências públicas, e também pela indicação, com caráter sugestivo, de ações a serem realizadas pela autoridade de dados”
(BARROS; FERREIRA, 2019, p. 267).
Os representantes das entidades de sociedade civil com atuação na proteção de dados; instituições científicas, tecnológicas e de inovação; entidades representativas do setor empresarial ligado ao tratamento de dados e entidade representativas do setor laboral, serão indicados por regulamento e não podem compor o Comitê Gestor da Internet (CGI), conforme §3º do art. 58-A da LGPD (BRASIL, 2018).
Boas práticas e governança
A Lei Geral de Proteção de Dados Pessoais é a primeira legislação específica aplicável às operações com dados, logo, se trata da regulamentação dos tratamentos dos dados pessoais, com o fito de assegurar os direitos e as garantias individuais daqueles envolvidos nessas atividades, tendo em vista o risco dessas operações.
Fonte: Pixabay
A governança consiste no “ato diretivo a partir do qual são regidas empresas e demais instituições”, ao passo que as boas práticas são o “conjunto de princípios e ações voltado ao atingimento de metas, desenvolvimento da organização e manutenção da credibilidade do público em relação a esta” (LOPES, 2019b, p.
229-330).
Logo, as boas práticas e a governança nada mais são do que parte da estrutura organizacional de uma empresa, ligada às regras institucionais, alinhadas com a política interna de cada estabelecimento e ao cumprimento das normas.
Ao lado dessas expressões está o compliance, muito comentando na atualidade, visto que se refere à conformidade de determinada pessoa jurídica às leis e regulamentos (LOPES, 2019b).
A importância das boas práticas e governança
Leis de proteção de dados pessoais compõem necessariamente esse arranjo de governança, na medida em que suas normas abraçam todo e qualquer processamento de dados que sujeite um indivíduo ou uma coletividade a uma decisão automatizada. (BIONI, 2019, p. 113)
Fonte: Pixabay
A governança relacionada à LGPD revela sua essencialidade para assegurar tanto o livre desenvolvimento da personalidade da pessoa humana quanto outros direitos fundamentais que a Lei busca proteger.
Logo, o incentivo para a adoção de boas práticas dentro de uma organização é a de fomentar internamente a realização de tratamento de dados pessoais seguros e adequados com a legislação pertinente.
Para Lopes (2019b), “a finalidade de tais regramentos seria a de assegurar mecanismos internos de controle e supervisão, bem como mitigar possíveis riscos, de forma a resguardar a empresa e inspirar confiabilidade do público” (LOPES, 2019b, p. 231).
Note que a adoção de boas práticas e governança também é importante para as empresas, pois gera a confiança das pessoas em fornecer seus dados pessoais para o tratamento desta.
O controlador deve demonstrar a efetividade do programa e deve haver publicidade e atualização das regras de boas práticas e governança e a ANPD pode reconhecê-las e divulgá-las. A autoridade nacional deve incentivar a adoção de medidas técnicas que possibilitem o controle do titular dos dados pessoais.
Sanções administrativas
Ao que se depreende, a autoridade nacional detém a competência para aplicar as sanções administrativas trazidas pela LGPD, devendo analisar, de acordo com cada caso concreto, qual deve ser aplicada.
Fonte: Pixabay
No inciso I, tem-se a figura da advertência, que é uma forma de punição mais leve, uma vez que consiste em chamar a atenção do infrator sobre seu ato irregular e dar a ele a oportunidade de correção, estipulando um prazo para tanto (LOPES, 2019a).
“Por se tratar de medida apta a causar transtornos relevantes à reputação da empresa sancionada, em respeito à garantia constitucional do devido processo legal, é imprescindível que a sanção seja implementada somente após a devida apuração e confirmação da autoria e materialidade da infração sob análise”
(LOPES, 2019a, p. 240).
Nesse ponto, cabe destacar que a Lei Geral de Proteção de Dados Pessoais não indicou quem seria o responsável pela divulgação da infração e se há meios específicos para a publicidade.
Outra sanção que pode ser aplicada é a de bloqueio dos dados pessoais envolvidos na infração até a regularização da situação ensejadora da punição, conforme inciso V, do art. 52 da LGPD (BRASIL, 2018).
O bloqueio consiste na “suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados”, de acordo com o inciso XIII do art. 5º da LGPD, ao passo que a eliminação é a “exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado”, nos termos do inciso XIV do art. 5º da LGPD (BRASIL, 2018).
Ademais, tem-se as sanções de suspensão parcial do uso do banco de dados relacionado à infração e de suspensão do exercício do tratamento dos dados alusivos à infração, ambas com limite de 6 (seis) meses, podendo haver prorrogação por mais 6 (seis) meses, nos termos dos incisos X e XI do art. 52 da LGPD (BRASIL, 2018).
Outrossim, é autorizada a conciliação entre controlador e titular dos dados nos casos de vazamento individual ou acesso não autorizado. Porém, se não houver acordo, será aplicada a sanção administrativa normalmente, conforme preceitua o §7º do art. 52 da LGPD (BRASIL, 2018).
Pois bem, agora que já identificamos todas as sanções administrativas trazidas pela Lei Geral de Proteção de Dados Pessoais, vamos estudar os parâmetros e as diretrizes legais para a aplicação delas.
Parâmetros e critérios para a aplicação das sanções
Como visto, as sanções administrativas variam entre punições mais brandas e mais severas.
Em vista disso, a Lei Geral de Proteção de Dados Pessoais, em seu art. 52, §1º, trouxe os parâmetros e critérios a serem observados para a escolha da sanção a ser aplicada ao caso concreto.
Fonte: Pixabay
Isso porque a LGPD busca assegurar as garantias constitucionais e processuais, de modo que mesmo que haja descumprimento de suas normas, deve ser dada a oportunidade do suspeito se defender (LOPES, 2019a).
Frise-se que, no que for pertinente, será aplicável a lei que regula o processo administrativo no âmbito da Administração Pública Federal, a Lei nº 9.784/1999, em virtude da natureza da LGPD (LOPES, 2019a).
“A autoridade nacional, ao exercer dita competência, deverá obedecer, além da expressa ampla defesa, a princípios gerais como o da legalidade, finalidade, motivação, razoabilidade, proporcionalidade, moralidade, contraditório, segurança jurídica, interesse público e eficiência” (LOPES, 2019a, p. 244).
A LGPD fixou parâmetros e critérios a serem observados na aplicação das sanções, como ampla defesa, gravidade e natureza da infração, direito das pessoas afetadas, boa-fé, condição econômica do infrator, reincidência, grau do dano, cooperação do infrator, adoção de medidas que visem minimizar os danos, adoção de regras de boas práticas e governança, adoção de medidas corretivas e proporcionalidade entre a gravidade da infração e a sanção aplicada.
