No dia 14 de agosto de 2018 foi sancionada a Lei nº. 13.709, conhecida como Lei Geral de Proteção de Dados – LGPD, que dispõe sobre o tratamento de dados pessoais, por pessoa natural ou pessoa jurídica de direito público e privado.
Frisa-se que até a promulgação da LGPD a proteção de dados era tratada de forma esparsa, através do Código de Defesa do Consumidor (Lei nº. 8078/90), Lei do Cadastro Positivo (Lei nº. 12.414/2011), Lei de Acesso à Informação (Lei nº. 12.527/2011) e Marco Civil da Internet (Lei nº. 12.965/2014).
A LGPD foi inspirada no Regulamento Geral sobre Proteção de Dados – GPDR adotado na Europa, e visa, sobretudo, proteger os direitos fundamentais de liberdade, privacidade e livre desenvolvimento da personalidade da pessoa natural.
De acordo com a LGPD dado pessoal é toda “informação relacionada a pessoa natural identificada ou identificável”. A Lei trata ainda de forma especial do dado pessoal sensível, que é toda aquela informação “sobre origem racial ou étnica, convicção religiosa, opinião política, filiação à sindicato ou organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”.
Com efeito, toda empresa independente da atividade exercida, que de alguma forma realize qualquer operação de tratamento de dados pessoais, não importando o meio utilizado (se físico ou digital), deverá observar as disposições previstas na LGPD.
Cumpre destacar que tratamento de dados de acordo com a LGPD compreende “toda a operação realizada com dados pessoais, como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”.
Depreende-se, portanto, que a definição legal de tratamento de dados é muito abrangente, razão pela qual a simples coleta pelas empresas de dados pessoais dos seus clientes no ato da contratação, a exemplo mas não se limitando, ao nome, número de CPF, endereço, telefone e e-mail, por si só já configura o tratamento de dados pessoais, e se submete às normas previstas na LGPD.
Diante disso, independente de qual seja o tipo de tratamento conferido pela empresa aos dados pessoais coletados dos seus clientes, é imprescindível que o cliente manifeste expressamente o seu consentimento com relação ao tratamento de seus dados, seja por escrito, seja por outro meio que demonstre a sua inequívoca manifestação de vontade. A própria LGPD prevê que será ônus da empresa comprovar que o titular do dado pessoal (leia-se cliente) deu o seu consentimento expresso com relação ao tratamento de seus dados.
Recomenda-se inclusive, que seja prevista cláusula especifica e destacada no contrato, de modo a demonstrar que o cliente de fato teve conhecimento inequívoco de quais dados pessoais estão sendo coletados e para qual finalidade, sendo nulas as cláusulas que contenham autorizações genéricas para tratamento de dados pessoais.
E mais, os dados pessoais devem ser utilizados pela empresa nos estritos limites da finalidade para a qual os mesmos foram coletados, e em consonância com o que foi informado explicitamente ao cliente, sendo vedado o tratamento de dado incompatível ou que ultrapasse a finalidade informada. Deste modo, as informações sobre a forma de tratamento dos dados devem ser transparentes e extensivas, compreendendo, a finalidade do tratamento, forma e duração do tratamento, identificação do responsável pelo tratamento e informações de contato, se há compartilhamento de dados e para qual finalidade, e os direitos do titular dos dados (leia-se cliente).
É assegurado ao titular dos dados, obter junto à empresa, a qualquer momento e mediante requisição: (i) confirmação da existência de tratamento dos seus dados; (ii) acesso aos dados; (iii) correção de dados incompletos, inexatos ou desatualizado; (iv) anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a Lei; (v) portabilidade dos dados a outro fornecedor de serviço ou produto; (vi) eliminação dos dados pessoais; (vii) informações das entidades públicas ou privadas com as quais a empresa realizou uso compartilhado de dados; (viii) informação sobre a possibilidade de não fornecer consentimento e sobre a consequência da negativa; (ix) revogação do consentimento.
A LGPD previu ainda a obrigação da empresa que tratar de dados pessoais indicar um Encarregado pelo tratamento de dados pessoais (Data Protection Office – DPO), profissional com poder de gestão e autonomia, ao qual competirá entre outras atribuições: (i) aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; (ii) receber comunicações da Autoridade Nacional e adotar providências; (iii) orientar os funcionários e demais envolvidos sobre a política a ser seguida em relação a proteção de dados pessoais; (iv) executar as demais atribuições determinadas pela empresa ou estabelecidas em normas complementares. A própria LGPD ressalvou que a Autoridade Nacional poderá estabelecer as hipóteses de dispensa da necessidade de indicação do Encarregado, conforme a natureza e o porte da entidade de tratamento de dados ou o volume de operação de tratamento de dados.
Frisa-se que embora em diversos dispositivos da LGPD seja mencionada a figura da Autoridade Nacional, os dispositivos concernentes à criação da Autoridade Nacional de Proteção de Dados (ANPD) foram vetados, sob o argumento de que a competência para a criação da Autarquia seria do poder executivo e não do legislativo. Assim sendo, a criação da Autoridade Nacional, a qual, de acordo com a Lei, seria o órgão expressamente responsável pela regulamentação da matéria, fiscalização e aplicação das sanções administrativas encontra-se pendente, e constitui-se medida de suma importância para garantir a efetividade da LGPD.
A empresa que em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletiva, em violação à LGPD será obrigada a repará-lo.
A infração a qualquer norma prevista na LGPD poderá ensejar na aplicação de sanções administrativas, que vão desde a advertência, com indicação de prazo para adoção de medidas corretivas, a multa de 2% (dois por cento) do faturamento até R$50.000,00 (cinquenta milhões de reais), entre outras medidas expressamente previstas na Lei.
A LGPD entrará em vigor em fevereiro de 2020, tempo este suficiente para as empresas adotarem todas as medidas necessárias para o cumprimento da Lei, incluindo, mas não se limitando, a implantação de política interna de tratamento de dados pessoais, adequação dos instrumentos contratuais firmados junto aos clientes, bem como padrões técnicos e administrativos de segurança visando a proteção dos dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas.
Jordana Magalhães Ribeiro
Advogada e Consultora Jurídica
Sócia da Silva Vítor, Faria & Ribeiro Sociedade de Advogados
jordana@silvavitor.com.br