Introdução
A Lei nº 13.709/2018, Lei Geral de Proteção de Dados (“LGPD”), publicada no dia 15 de agosto de 2018, estabeleceu o marco legal para a proteção de dados pessoais no Brasil.
O âmbito de incidência da LGPD é o mais amplo possível, uma vez que a lei é aplicável a todo aquele que realize operação de tratamento de dados pessoais dentro das hipóteses previstas na norma, alcançando determinados indivíduos, o poder público e empresas nacionais e estrangeiras atuantes nos mais diversos segmentos da sociedade, nos ambientes físico e virtual.
Em vista da sua abrangência, a LGPD demandará um esforço geral dos mais diversos setores da economia para adaptação aos novos requisitos legais. O esforço de adaptação deverá ser maior para setores que não estavam sujeitos às regras da Lei nº 12.965/2014 (“Marco Civil da Internet”), que pode ser entendida como precursora da LGPD em diversos aspectos. O prazo para entrada em vigor da LGPD é de 18 meses contados da data da sua publicação, o que deve proporcionar tempo razoável para adaptação à nova lei.
A LGPD aproveitou em grande medida as definições de dados pessoais e atividade de tratamento de dados pessoais contidas no Decreto nº 8.771/2016, que regulamentou o Marco Civil da Internet.
Dessa forma, a LGPD define “dado pessoal” como informação relacionada a pessoa natural identificada ou identificável e “tratamento” como a atividade de coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração de dados pessoais.
A LGPD também definiu “dado pessoal sensível”, assim entendido como o dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
A LGPD aplica-se ao tratamento de dados pessoais que, de alguma forma, tenha pontos de contato com o Brasil. Nesse sentido, seu art. 3 traz as seguintes hipóteses: (i) tratamento realizado no Brasil; (ii) tratamento com objetivo de oferta, fornecimento de bens ou serviços no Brasil; (iii) tratamento que envolva dados de indivíduos localizados no Brasil; ou (iv) dados pessoais objeto do tratamento coletados no Brasil.
Por outro lado, a LGPD não se aplica a tratamento de dados pessoais com finalidade exclusivamente: (i) particular e não econômica; (ii) jornalística, artística ou acadêmica; e (iii) de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais. Também não se aplica para dados pessoais provenientes de fora do Brasil e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, salvo se o país de proveniência proporcionar grau de proteção de dados pessoais adequado ao previsto na LGPD.
Sujeitos
A LGPD tem três principais figuras na relação de tratamento dos dados pessoais: de um lado, o “titular” dos dados, cuja proteção no âmbito da LGPD é restrita a pessoas naturais; de outro, as figuras do “controlador”, que é aquele que toma as decisões referentes ao tratamento de dados, e, por isso, tem maior responsabilidade no âmbito da LGPD, e do “operador”, que é quem realiza qualquer operação do tratamento de dados em nome do controlador.
Objeto
O tratamento de dados pessoais, em regra geral, é permitido em 10 (dez) hipóteses listadas no artigo 7º da LGPD, sendo o consentimento livre, informado, inequívoco e específico do titular dos dados pessoais apenas uma delas.
O tratamento também é permitido: (i) para cumprimento de obrigação legal ou regulatória pelo controlador; (ii) pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres; (iii) para realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais; (iv) quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados; (v) para o exercício regular de direitos em processo judicial, administrativo ou arbitral; (vi) para a proteção da vida ou da incolumidade física do titular ou de terceiro; (vii) para a tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias; (viii) para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente; e (ix) quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.
Essa última hipótese de tratamento (para atendimento de interesses legítimos do controlador) é a mais controversa da LGPD. O conceito de “interesse legítimo do controlador” envolve certa subjetividade e deverá ser determinado com base nos elementos dos casos concretos. Assim, os contornos desse conceito deverão ser delimitados ao longo dos anos, com a formação de jurisprudência sobre o tema nos tribunais nacionais.
Note-se, ainda, que a LGPD não permite o tratamento de dado pessoal sensível com base em “interesse legítimo do controlador”, conferindo maior proteção a dados dessa natureza.
Responsabilidade
O controlador e o operador respondem por danos patrimoniais, morais, individuais ou coletivos, causados em virtude do tratamento de dados pessoais em violação à LGPD. O Operador responde de forma solidária por danos decorrentes do descumprimento da LGPD ou inobservância de instruções do controlador.
A nova lei estabelece que o controlador e operador só não serão responsabilizados quando provarem (i) que não realizaram o tratamento de dados pessoais que lhes é atribuído; (ii) que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou (iii) que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro. A LGPD também estabelece hipóteses em que o juiz poderá inverter o ônus da prova no processo civil.
No caso de violações de direitos do titular associados a relações de consumo, as disposições da Lei nº 8.078, de 11 de setembro de 1990 (o Código de Defesa do Consumidor) sobre responsabilidade deverão ser aplicadas.
Sendo verificado um incidente de segurança envolvendo dados pessoais, o controlador deverá comunicar o fato à Administração Pública em espaço de tempo razoável, não estabelecendo a LGPD um prazo fixo para tanto.
Sanções Administrativas
No âmbito administrativo, as sanções aplicáveis em caso de infração à LGPD são (i) advertência, com prazo razoável para saneamento; (ii) multa simples, de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50 milhões por infração; (iii) multa diária, observado o mesmo limite; (iv) publicização da infração após apuração e confirmação da sua ocorrência; (v) bloqueio dos dados pessoais a que se refere a infração até a sua regularização; e (vi) eliminação dos dados pessoais a que se refere a infração.
Vetos
Dentre as matérias objeto de veto presidencial, destacam-se: (i) determinadas vedações ao compartilhamento de dados pela Administração Pública, (ii) certas sanções administrativas que previam suspensão do funcionamento de bancos de dados, bem como suspensão ou vedação ao tratamento de dados; e (iii) a criação da Autoridade Nacional de Proteção de Dados (“ANPD”).
O projeto da LGPD previa a vedação ao compartilhamento de dados no âmbito do Poder Público e o dever de a Administração Pública tornar públicos todos os compartilhamentos de dados realizados, o que foi vetado sob fundamento de que o compartilhamento de informações é medida recorrente e essencial para o regular exercício de diversas atividades públicas e, ainda, o risco de que a publicidade irrestrita da comunicação de dados entre órgãos e entidades de direito público tornaria inviável o exercício regular de algumas ações públicas.
Com relação às sanções administrativas vetadas, o veto ocorreu sob a justificativa da insegurança que estas sanções poderiam trazer, inclusive para o sistema financeiro nacional.
Por fim, a criação de imediato da figura da ANPD, autarquia vinculada ao Ministério da Justiça, com a finalidade de aplicar sanções, fiscalizar e editar normas para a política nacional de proteção de dados, foi vetada sob o fundamento de vício de inconstitucionalidade na origem, por não observância da iniciativa privativa do Chefe do Poder Executivo para criação de órgãos da administração pública, e por não se tratar de lei específica para a criação. A expectativa, no entanto, é de que o Chefe do Poder Executivo edite norma criando a referida autarquia.
Advogados Responsáveis
Marcelo Padua Lima
Renato Moraes
Aaron Papa de Morais
Vinicius Venancio Costa