• Nenhum resultado encontrado

LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS

N/A
N/A
Info
Descarregar agora
Protected

Academic year: 2022

Share "LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS"

Copied!
10
0
0

Carregando.... (Ver texto completo agora)

Descarregar agora ( 10 páginas )

Texto

(1)

8

LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS

PERGUNTAS E RESPOSTAS SOBRE OS IMPACTOS DA REGULAMENTAÇÃO PARA O TERCEIRO SETOR

DEZEMBRO DE 2021

(2)

Introdução

A Lei Geral de Proteção de Dados Pessoais – LGPD foi aprovada em 2018 com a função dual de regulamentar o uso de dados pessoais e fomentar a inovação.

Seu principal objetivo é garantir a proteção à privacidade e à inviolabilidade da honra, da imagem e da intimidade dos cidadãos brasileiros ao mesmo tempo em que permite a exploração econômica no setor, por meio de regras específi- cas para o tratamento de dados pessoais, seja coleta, transferência, classifica- ção ou utilização. Trata-se de fruto de uma longa discussão, iniciada em meados de 2010, que resultou em um texto normativo elaborado a muitas mãos, tanto do governo, quanto da academia, da sociedade civil e do setor privado.

A Lei, com isso, pode ser considerada um pilar fundamental para a concre- tização do arcabouço normativo da proteção de dados pessoais e para a segu- rança jurídica dos titulares de dados – e não um mecanismo de impedimento do manuseio dessas informações. Assim, guiadas pelos princípios da Constituição Federal, da LGPD e das demais disposições normativas aplicáveis, as organiza- ções da sociedade civil (OSCs) devem voltar sua atenção aos processos internos relacionados ao cumprimento dessas exigências legais.

Com inúmeros casos de vazamento de dados relatados no período recente, uma das maiores preocupações relacionadas à proteção de dados é quanto às consequências desse tipo de incidente. Acerca da realidade das OSCs, ainda há um certo desconhecimento sobre o que exige a LGPD e diversas dificuldades para se adequar, sendo que muitas entidades não possuem recursos suficientes para rever seus procedimentos, elaborar políticas de privacidade, treinar suas equipes, realizar as inúmeras etapas do processo de adequação à Lei e dispor da tecnologia necessária para proteção de seus bancos de dados. Apesar dos desafios, é importante que as OSCs adotem medidas que garantam o cumpri- mento das exigências legais na execução de suas atividades e que sejam atores ativos na difusão da cultura de proteção aos dados pessoais, reforçando assim a relação de confiança da sociedade nas organizações.

Dessa forma, esse documento tem como objetivo a apresentação de pontos relevantes da proteção de dados pessoais no contexto das atividades desempenhadas pelas OSCs, por meio do modelo de perguntas e respostas, sobre a necessidade destas em se adaptarem à LGPD e as principais dúvidas atinentes a este setor.

(3)

O que a LGPD visa proteger? Qual a diferença entre dados pessoais e dados pessoais sensíveis?

A Lei consolida no Brasil a ideia de que os dados pessoais de um indivíduo devem ser protegidos pela legislação, ou seja, tratam-se um bem jurídico a ser tutelado. Em vista disso, busca-se não somente provocar uma mudança na cul- tura de tratamento de dados, como lapidar os contornos referentes às respon- sabilidades e competências dessa atividade. Dessa maneira, o texto normativo é respaldado em alguns princípios (finalidade, necessidade, não-discriminação, entre outros) que visam coordenar essa atividade, de forma a afastar a ideia de que os dados pessoais podem ser considerados apenas como uma “moeda de troca” numa relação econômica.

A lei define diferentes aspectos do tratamento de dados. Uma das princi- pais definições é o papel dos “agentes de tratamento”, que podem ser qualquer

“pessoa jurídica de direito público ou privado”, o que inclui, por consequência, as OSCs. Assim, seja para finalidades como a realização de pesquisas, seja para a execução de parcerias com o Poder Público ou no cumprimento de suas fi- nalidades sociais, é notório que as OSCs poderão ser consideradas agentes no tratamento de dados pessoais. Por esse motivo, a ANPD vem gradativamente voltando sua atenção para os agentes de pequeno porte, incluindo nesse rol aqueles que não possuem finalidade lucrativa e discutindo com a sociedade alternativas para flexibilizar os critérios de cumprimento da lei para esse grupo.

Nesse sentido, é importante que as organizações tenham dois conceitos bá- sicos em mente para entender quando deve ser aplicada a LGPD. O primeiro é a definição de dado pessoal, que se refere à “informação relacionada a pessoa natural identificada ou identificável”, nos termos do art. 5º, I, da Lei. Em outras palavras, trata-se de qualquer informação que seja ou possa ser conectada a um indivíduo específico. Alguns exemplos são comuns: nome, CPF, RG e filiação.

É importante ressaltar que, por definição, a LGPD busca proteger o direito à proteção de dados atinente à uma pessoa física, não contemplando em seu escopo as informações referentes a pessoas jurídicas, a menos que estas últi- mas revelem informações sobre uma pessoa física (como, por exemplo, no caso de empresários individuais). Importante também destacar que essa definição é sempre contextual, ou seja, há muitas informações que podem ou não ser consideradas como dados pessoais a depender de quem tem acesso a elas, de quais outras informações essa pessoa possui etc. À título de exemplo, podemos citar o número de matrícula de um estudante: o número de identificação em si pode não ser considerado um dado pessoal, em razão da impossibilidade de relacioná-lo, fora de um contexto específico, com uma pessoa natural. Todavia, esse número de matrícula, quando combinado com uma base de dados que contenha o nome dos estudantes da respectiva escola, pode passar a ser con- siderado um dado pessoal.

Por outro lado, a Lei define quais seriam os dados pessoais considerados sensíveis. Nos termos do art. 5º, II, referem-se ao “dado pessoal sobre origem 1

(4)

racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”. Nota-se, assim, que se trata de uma categoria mais específica de infor- mações, relacionadas ao foro íntimo do indivíduo, e que, por essa razão, apre- senta um rol mais enxuto das bases legais de tratamento que podem ser apli- cadas e uma série de salvaguardas que devem estar presentes no tratamento.

Assim, é possível entender que a principal diferença entre essas duas ca- tegorias de dados pessoais é o regime de proteção atribuído, se mais flexível ou mais restritivo, refletindo nos procedimentos que devem ser adotados pelas organizações para garantir a legalidade do tratamento.

Como saber qual agente de tratamento eu sou? Quais são minhas res- ponsabilidades em cada caso?

A LGPD define como agentes de tratamento o controlador, o operador e o encarregado (ou DPO), que são detentores de diferentes níveis de responsabi- lidades com relação às atividades de tratamento de dados pessoais. De forma geral, pode-se dizer que o controlador, que pode ser uma pessoa física ou ju- rídica, é quem possui poder de mando sobre o tratamento de dados pessoais, ou seja, é ele quem decide os caminhos e diretrizes para o tratamento de uma base de dados específica. É o controlador quem tem poder sobre os elementos essenciais das atividades de tratamento, quais sejam, a finalidade, a definição da base legal, o período de armazenamento dos dados, a garantia dos direitos dos titulares, a definição dos dados e dos indivíduos envolvidos na operação de tratamento, entre outras responsabilidades.

Como efeito, é de suma importância que as organizações mapeiem as atividades de tratamento que realizam dentro da entidade e atribuam razões específicas para a ocorrência de cada uma, para compreender de forma clara em que enquadramento se encontram enquanto agentes de tratamento. Assim, nas atividades em que figurar como controladora do tratamento, ou seja, nos tratamentos em que tiver poder decisório sobre os aspectos mencionados aci- ma, poderá tomar as medidas cabíveis, como, por exemplo, identificar a base legal adequada para respaldar as operações de tratamento. Além disso, dentre outras obrigações previstas na Lei, deverá o controlador informar essa finalida- de do tratamento de forma detalhada ao titular e garantir que seu uso futuro seja compatível com o propósito previamente comunicado.

Por outro lado, o operador será o agente, pessoa física ou jurídica, que realiza o tratamento de dados pessoais em nome de um controlador. Ou seja, o controlador passa a delegar uma parcela da atividade de manuseio dos dados a um terceiro, que irá tratá-los com base nos interesses estipulados pelo primei- ro. É importante refletir que o operador, diferente do que pode parecer, não é necessariamente um subordinado da parte controladora. Isso porque cabe ao operador decidir, por exemplo, quais métodos tecnológicos utilizar para a co- 2

(5)

leta dos dados, como irá armazenar esses dados, quais as medidas seguranças que irá utilizar, quais os métodos de transferência para o caso de compartilha- mento com terceiros envolvidos, quais os meios de recuperação de dados, entre outros critérios. Apesar de não-subordinado, o operador deverá restringir a sua atuação aos limites impostos pelo controlador, seguindo todas as orientações que forem dadas por este, desde que sejam lícitas.

O encarregado pelo tratamento de dados pessoais, por sua vez, é o respon- sável pelo contato com os titulares de dados e pela interface com a ANPD (art.

5º, VIII e 41). Compete a ele responder aos eventuais questionamentos, dúvidas e exigências formuladas pelo titular. Por isso, a LGPD prevê que o controlador deve indicar e divulgar publicamente, de preferência em seu site, as informa- ções de contato do encarregado.

É importante que, independentemente da posição ocupada, as organiza- ções estabeleçam instrumentos jurídicos específicos com os agentes envolvidos no tratamento em referência, a fim de realizar um manejo dos riscos, delimitar claramente os papéis enquanto agentes de tratamento e limitar a responsabili- dade de cada parte. Apesar de não ser uma obrigação prevista expressamente na LGPD, considera-se uma boa prática a adoção de cláusulas específicas para a proteção de dados pessoais, não somente para comprovar perante terceiros (a exemplo de financiadores) que sua entidade está em processo de adaptação da LGPD, mas também para delimitar as diretrizes para tratamento que o controla- dor pretende transmitir ao operador. No final das contas, embora esses papéis sejam definidos por meio de instrumentos contratuais, prepondera a realidade fática. Assim, ainda que um documento diga que a parte A é operadora e a par- te B é controladora, o caso concreto sempre prepondera na definição de qual posição, de fato, a entidade está ocupando.

Por fim, é de suma importância ressaltar que as figuras de operador e con- trolador não devem ser atreladas a funcionários ou colaboradores específicos que estejam agindo em nome e de forma subordinada ao agente.

O que devo saber sobre o ciclo de vida dos dados pessoais dentro da minha organização?

Organizações de pequeno porte e organizações da sociedade civil, não obstan- te o seu recorrente enxuto número de funcionários e colaboradores, podem desempenhar atividades de tratamento que acarretam um uso de quantidades massivas de dados pessoais. Nesse sentido, uma das etapas mais importantes para adequação de tais organizações é a de compreender melhor os fluxos de dados pelos quais são responsáveis, destacando a finalidade de cada tratamen- to e – com isso – entendendo a necessidade do tratamento de determinados dados e por quanto tempo se estenderá o tratamento.

Também, um passo importante para a criação de um novo projeto que envolva tratamento de dados pessoais da entidade é selecionar quem são os membros da organização envolvidos nessa tarefa. Consequentemente, será 3

(6)

possível definir quem poderá ter acesso às bases de dados, necessárias para sua execução. Com isso definido, os membros deverão avaliar se as etapas do referido projeto podem ser cumpridas com o uso de dados anonimizados ou pseudonimizados – ou seja, se os resultados pretendidos podem ser atingidos utilizando-se somente de dados agregados, que são dados observados apenas

“em bloco”, sem individualização, sem a possibilidade de relacioná-los com uma pessoa natural.

Todavia, caso não seja possível anonimizá-los, os membros da organização envolvidos no projeto devem partir para uma segunda análise, qual seja, se a base de dados possui informações excessivas para as finalidades do projeto.

Isso porque a LGPD tem como princípio a necessidade, que visa limitar o tra- tamento ao mínimo necessário para o cumprimento da finalidade previamente estabelecida. Caso seja possível, deverão ser eliminados os dados excedentes;

se não, parte-se para a etapa de mapeamento (o data mapping) dos dados tra- tados pela entidade.

O documento tem como propósito elencar se os requisitos legais para tra- tamento de dados estão sendo cumpridos, bem como fornecer uma visão clara sobre todos os fluxos de dados que ocorrem dentro da organização. Ou seja, a organização deve ter compilado quais os casos de uso daquele dado pessoal, quais as medidas de segurança adotadas, qual a base legal de tratamento que está sendo considerada, qual a fonte e forma de compartilhamento (se houver), qual o período de retenção autorizado, onde está armazenado, entre outras classificações. Cumpre ressaltar que esse é um documento que pode ser solici- tado pela Autoridade Nacional de Proteção de Dados e de extrema importância para fins de cumprimento do princípio da transparência e para demonstrar a conformidade da organização com a Lei.

Por fim, após cumprida a finalidade estipulada e passado o prazo estipula- do para retenção, a organização deverá optar por dois caminhos: ou armazenar esses dados pessoais tratados de forma anonimizada ou agregada (por meio de relatórios de inteligência, por exemplo) – ou seja, de forma que não permita a identificação ou a reidentificação do titular através da utilização de meios téc- nicos razoáveis – ou excluí-los (além das quatro hipóteses de manutenção pre- vistas nos incisos do art. 16). Cabe ressaltar que, em relação à manutenção dos dados de forma anonimizada, ou seja, de forma que não seja possível reverter o processo de anonimização, ele consequentemente deixa de ser considerado pessoal e, logo, não se aplicará mais a LGPD ao caso.

Como minha organização deve agir nas seguintes situações:

Selecionamos algumas práticas comuns desempenhadas pelas organizações na promoção de suas atividades. Dentre elas, estão:

1. Elaboração de mailing: é comum que as organizações construam bases de dados com nome e e-mail fornecidos por interessados nas atividades por ela desempenhadas. Nesse sentido, zelar pela especificidade e trans-

(7)

parência é primordial na relação com os titulares de dados. Dessa forma, o caso concreto irá depender de quem são os agentes envolvidos nesse tratamento. De toda maneira, a finalidade do tratamento deverá ser infor- mada de maneira clara para esse titular, devendo o controlador garantir que o uso posterior dessas informações estará alinhado com o propósito inicial informado.

Recomenda-se, assim, que as entidades possuam uma política de pri- vacidade em que detalhem para qual finalidade será realizado o tratamento do dado, quais organizações e empresas terão acesso a esses dados, por quanto tempo ele será armazenado, dentre outras diretrizes a serem atri- buídas pelo controlador. Além disso, pode ser incluído um disclaimer, com um box para marcação, que traga também essas informações.

2. Coleta de dados pessoais para lista de presença em eventos: no mesmo sentido da elaboração de uma base de dados com contato de interessados nas atividades da organização, a lista de presença em eventos, congressos, fóruns, debates, é uma prática bastante comum das organizações. Muitas vezes, a assinatura da lista de presença é essencial para, por exemplo, comprovar o cumprimento de um encargo estabelecido com o financiador deste determinado evento. Por isso, recomenda-se que a lista de presença traga tanto um comprometimento das partes processadoras dos dados em tratá-los com base nas disposições da LGPD, quanto um esclarecimento sobre a finalidade dessa coleta.

3. Gravação de lives ou entrevistas: neste caso, o mais importante será co- letar o consentimento do entrevistado em relação ao uso de imagem e de som, especialmente por conta de preocupações relacionadas ao direito de imagem (que não se confunde com o tema de proteção de dados). Para a divulgação de lives e entrevistas, pode-se considerar pressuposto a coleta de alguns dados pessoais (como nome e ocupação), a fim de gerar credibi- lidade e reconhecimento sobre o evento que está sendo promovido. Dessa forma, é importante que termos de consentimento prevejam, nestes casos, que será coletada a menor quantidade possíveis de dados para a promoção da referida live ou entrevista, e que estes dados serão utilizados somente para essa finalidade específica.

4. Compartilhamento de dados pelo Poder Público: também é comum que as organizações da sociedade civil estabeleçam parceria com os órgãos de governo, a fim de unir esforços para realização de atividades de interesse público. Com base nas previsões da Lei 13.019/2014 – o Marco Regulatório das Organizações da Sociedade Civil – é necessário que seja celebrado um instrumento de formalização dessa parceria, que pode ser um termo de co- laboração ou fomento (com transferência de recursos pelo estado) ou um acordo de cooperação técnica (sem transferência de recursos pelo estado).

(8)

Ainda que a ANPD não tenha regulamentado a forma de submissão de contratos e convênios à autoridade, conforme disposto no art. 26, § 2º da LGPD, é de suma importância que seja formalizada a parceria contendo cláusulas sobre o tratamento de dados pessoais no âmbito desta relação.

Isso porque, ainda que a Lei não traga expressamente a obrigatoriedade do uso de cláusulas contratuais para regular a relação entre as partes, a utilização de disposições em contrato e acordos é crucial para estabelecer os direitos, obrigações e responsabilidade de cada uma das partes envolvi- das no tratamento.

Quais procedimentos básicos devo adotar para adaptar uma organiza- ção à LGPD?

Este é um tópico que demanda cautela, pois o processo de adaptação de cada organização dependerá de suas particularidades. Ainda que existam proce- dimentos gerais que podem ser adotados para garantir essa adequação, o processo em concreto sempre vai depender das características particulares da entidade. Em linhas gerais, visar o estabelecimento de uma consolidada gover- nança de dados é o pilar central para esse caminho de adequação. Nesse senti- do, pensar em limitação dos acessos, realização de data mapping, elaboração de fluxogramas para construção de protocolos de tratamento, construção de uma política de privacidade, adoção de medidas para segurança da informação, são alguns exemplos que podem ser citados.

Além disso, como mencionado, a LGPD determina a necessidade de se adotar um encarregado (também por vezes chamado de Data Protection Officer – DPO, em referência à nomenclatura europeia) para a organização que realiza o

tratamento de dados. O encarregado pode ser pessoa física ou jurídica e deve ter suas informações de contato de fácil acesso, sendo responsável por promo- ver cultura e capacitação em proteção de dados. Há, no entanto, a possibilidade de flexibilização da exigência de um DPO por meio da norma para agentes de tratamento de pequeno porte, que ainda está em processo de consolidação pela ANPD.

Ainda, a formalização jurídica das operações que envolvem tratamento de dados, como dito anteriormente, é essencial para delimitar as obrigações e responsabilidades dos agentes de tratamento, além de garantir os direitos resguardados aos destinatários das ações desenvolvidas pelas OSC. Cabe ci- tar, ainda, o Guia Orientativo sobre Segurança da Informação para Agentes de Tratamento de Pequeno Porte lançado pela ANPD, em outubro de 2021. O guia indica medidas administrativas e técnicas de segurança da informação e é acompanhado por um checklist que serve para facilitar a visualização das sugestões que devem ser adotadas por esses agentes. Essas orientações foram publicadas num contexto relevante, tendo em vista a recente Consulta Pública, pela Plataforma Participa+ Brasil, sobre a resolução da autoridade sobre aplica- ção da LGPD para empresas de pequeno porte e entidades sem fins lucrativos.

4

(9)

Nota-se, assim, que a ANPD vem, a cada dia, voltando mais sua atenção para a delimitação dos procedimentos básicos que as organizações da sociedade civil deverão adotar para estarem adaptadas à Lei.

Quais as principais punições que as organizações poderão sofrer por não se adequarem à LGPD?

De forma geral, a LGPD prevê que o tratamento inadequado de dados pessoais poderá acarretar multa de até 2% do faturamento1 – com limite de até R$ 50 milhões – além da possibilidade de bloqueio dos dados utilizados, podendo vir a inviabilizar alguns modelos de negócios. Além disso, no caso das organizações da sociedade civil, a punição que pode ocorrer é, principalmente, reputacional, pois uma adaptação precária à nova Lei pode acabar ocasionando um afasta- mento de potenciais financiadores que buscam entidades devidamente regula- rizadas nessa matéria.

Quanto às hipóteses de responsabilização, a LGPD prevê essa possibilidade nos âmbitos administrativo e cível. No primeiro caso, caberá à ANDP conduzir um processo que assegure o contraditório, ampla defesa e o direito de recurso nessa averiguação de uma possível violação ao texto legal. Nesse sentido, a responsabilização dependerá de qual posição está sendo ocupada na cadeia de tratamento. Tanto controlador quanto operadores poderão ser responsabiliza- dos por infrações à lei, podendo a ANPD aplicar uma série de outras sanções administrativas que não somente a multa (advertência com prazo para adoção de medidas corretivas, bloqueio dos dados pessoais a que se refere a infração até a sua regularização, entre outras medidas).

Em relação à responsabilidade na esfera cível, a LGPD dedica-se inteira- mente a esclarecer a forma como acontecerá essa reparação por parte do agente violador. Essa reparação poderá ser solidária, com algumas hipóteses na qual operador apenas responde solidariamente se estiver descumprido obriga- ções da lei ou não seguido as instruções do controlador. Além disso, o operador poderá ser responsabilizado por ressarcir o dano causado pela violação das medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas.

A responsabilidade na reparação de danos em vazamentos de dados não foi expressamente definida pela LGPD como subjetiva (depende do dolo/culpa do agente) ou objetiva (independe de dolo/culpa) e essa é uma discussão que está cada vez mais posta devido à sua relevância. No entanto, recentes julgados do Tribunal de Justiça de São Paulo (como no caso Cyrela e no caso Serasa, em 2021) apontam para a tese de que só haverá reparação de dano quando a entidade não realizar todos os esforços possíveis para evitar o incidente de segurança. ■

1. Ainda que se saiba que as OSC não possuem faturamento, em razão de sua natureza jurídica, a Lei não traz uma base de cálculo alternativa para que se estime o valor da multa.

5

(10)

Vinicius Marques de Carvalho Advogados

Rua Doutor Rafael de Barros, 210 9º andar Paraíso 04003 041 São Paulo SP Brasil +55 11 3939 0708 | contato@vmca.adv.br | www.vmca.adv.br

Referências

Descarregar agora ( PDF - 10 páginas - 177.82 KB )

Documentos relacionados

Conhecendo a Lei Geral de Proteção de Dados Pessoais - LGPD

Com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade no país, a Lei Geral de Proteção de Dados Pessoais (nº 13.709/2018) entrou em vigor em setembro do

LGPD LEI GERAL DE PROTEÇÃO DE DADOS

• Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de

Lei Geral de Proteção de Dados (LGPD)

Para o tratamento desses dados deverá ser obtido o consentimento do titular, para fins específicos e de forma destacada. A LGPD entra em vigor em agosto de 2020 e não terá mais

LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS (LGPD)

A identificação do tratamento de dados pessoais propiciada pelos itens 10.3 e 10.4 da Figura 11 fornecerão elementos para descrição do contexto de tratamento no RIPD

LEI /18 LEI DE PROTEÇÃO DE DADOS PESSOAIS

• Como a LPD será aplicada independentemente da época em que a empresa teve acesso aos dados pessoais, para evitar o risco de indenizações quanto ao tratamento de

Materiais para Redes Aéreas de Distribuição em Orla e demais Áreas SUMÁRIO

 Código CEEE-D.. Para uso externo, deve propiciar isolamento elétrico e vedação contra umidade. 4) Acabamento: a cobertura para emenda deve ser fornecida em embalagem

Considerando a Lei nº /2018, Lei Geral de Proteção de Dados Pessoais (LGPD);

1º Regulamentar as atividades de ensino, incluindo educação infantil, ensino médio, educação profissional técnica de nível médio e ensino superior, na

LGPD ABDI. Lei Geral de Proteção de Dados Pessoais (LGPD)

Se enviarmos um e-mail utilizando o correio corporativo para outra pessoa (cujo endereço eletrônico foi coletado em um evento, por exemplo) e não formos claros para que