Comentários à Lei Geral de Proteção de Dados [1 ed.]

Citation preview

JANEIRO 2020

Comentários à

Lei Geral de Proteção de Dados

Realização e Organização: Comissão de Direito Digital, Tecnologia e Inteligência Artificial. OAB-SP 116ª Subsecção - Jabaquara - Saúde

Presidente: Paulo Purkyt Vice Presidente: Viviane Malanga

Coordenação e Revisão: Regiane Martins dos Santos Adriana Cristina F. L. de Carvalho

Apoio:

Presidente Evandro Andaku

Comentários à

Lei Geral de Proteção de Dados

Realização e Organização: Comissão de Direito Digital, Tecnologia e Inteligência Artificial. OAB-SP 116ª Subsecção Jabaquara - Saúde Presidente: Paulo Purkyt Vice Presidente: Viviane Malanga

Coordenação e Revisão Regiane Martins dos Santos Adriana Cristina França Leite de Carvalho Edição e Diagramação: Regiane Martins dos Santos Apoio:

Presidente Evandro Andaku COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

SUMÁRIO

As Disposições Preliminares da LGPD

6

Marcel Brasil de Souza Moura

Processos Preliminares do Artigo 6º da LGPD: As novas perspectivas sobre proteção de dados entre o que se quer, o que de fato se precisa e como adequar os dados adquiridos com as permissões pessoais e as permissões legais

20

Fernanda Dutra Vieira Lopes

O Tratamento de Dados Pessoais de Crianças e Adolescentes

33

Letícia Lefevre

Dos direitos do titular: Finalmente o empoderamento dos indivíduos enquanto titulares de seus dados Andréia da Costa Pereira dos Santos             

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

52

SUMÁRIO

Do Tratamento de Dados Pessoais pelo Poder Público: O que se espera do Poder Público com a LGPD?

64

Jorge Alves Dias Da Transferência Internacional de Dados

81

Viviane Corrocher Malanga Dos Agentes de Tratamento de Dados

88

Jane Kaunert e Cristina Hang LGPD: Segurança e Boas Práticas

107

Sandra Regina Alexandre Da segurança e das boas prática: LGPD na Educação Adriana Cristina Carvalho              

França

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

Leite

de

122

SUMÁRIO

Da fiscalização em Face da Lei Geral de Proteção de Dados

136

Carlos Henrique Terçariol Bergonso Da Autoridade Nacional de Proteção de Dados (ANPD) e do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade

146

Maria Inês Costa Assaf e Fabio Henrique Assaf Domingues               Cada Artigo deste e-book é de responsabilidade exclusiva de seu autor e não reflete necessariamente a linha programática e ideológica, tampouco a opinião da Ordem dos Advogados do Brasil (OAB), nem a vincula. Todos os direitos desta obra são cedidos à OAB Seccional São Paulo pelos Autores, nos termos da lei, sendo sua distribuição não onerosa, com finalidade de disseminação de informações ao público em geral e finalidade não acadêmica

Imagens por pixabay.com COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

AS DISPOSIÇÕES PRELIMINARES DA LGPD Marcel Brasil de Souza Moura¹ No presente artigo, serão feitas algumas considerações sobre as disposições preliminares da Lei Geral de Proteção de Dados – LGPD.    Antes de analisar o conteúdo das disposições preliminares da LGPD, são relevantes algumas considerações sobre a relevância dos dados na sociedade atual. Segundo MENDONÇA (2014, p. 2):

A sociedade de hoje é resultado de uma revolução gerada pela informação, razão pela qual ela é comumente chamada ‘sociedade da informação’. O grande fluxo informacional que circula rapidamente de um lado a outro do planeta por meio das novas ferramentas de tecnologia e de comunicação mostra que a informação é orientadora e permeadora das relações, fortalecendo-as (por um lado) e permitindo o surgimento de novas a partir da derrubada das barreiras físicas. Nos dias de hoje, é possível acompanhar fatos que acontecem em um país muito distante em tempo real através da televisão, manter conversas simultâneas com várias pessoas de vários lugares, trocando vídeos e fotos, através das redes sociais e descobrir qual a melhor rota para ir de um lugar a outro sem pegar trânsito por aplicativos de celular em apenas alguns segundos – e enquanto dirige, no breve tempo do sinal vermelho do semáforo. COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

¹ Marcel é Advogado com experiência em gestão de departamento jurídico de empresa. Doutorando em Direito e Mestre em Direito. Especialista em Direito Processual Civil. Especialista em Direito Público. Presidente da Comissão de Argumentação, Filosofia e Teoria do Direito da OAB/SP, Subsecção Jabaquara-Saúde. Membro da Comissão de Ética e Disciplina da OAB/SP, Subsecção Jabaquara-Saúde. Assessor da Presidência da 4.ª Turma do Tribunal de Ética e Disciplina da OAB/SP

6

É elucidativa a lição de PUGLIESI (2015, p. 10) sobre a mudança paradigmática pela qual passa nossa sociedade, transitando do capitalismo industrial para a sociedade de dados:

O novo é permanentemente criado e a novidade traz em si a obsolescência do velho que, de fato, sempre persiste – gerando tensões de caráter organizacional extremamente complexas. O modo de produção transita do capitalismo industrial para a sociedade do conhecimento, ou como parece se impor: sociedade de dados. A produção de uma massa enorme de informações e informes, a possibilidade de armazenagem em nuvens, os motores de busca cada vez mais refinados e a onipresença de inteligência artificial no controle de processos – transformam o tempo, com a radicalidade tolerável a cada tempo.

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

AS DISPOSIÇÕES PRELIMINARES DA LGPD

Marcel Brasil de Souza Moura

7

A geração e captação de dados cresce a cada minuto. A cada ato praticado pelas pessoas, grandes empresas recebem seus dados: seja uma compra no cartão de crédito/débito, utilização de aplicativo de transportes, uma inocente navegação pela internet, publicações em redes sociais etc. Há quem diga que as empresas produtoras dos modernos aparelhos celulares têm acesso às nossas localizações ainda que o sistema GPS esteja desligado.

Na série televisiva “Black Mirror”, que expõe um futuro distópico, não há privacidade mesmo em relação às câmeras dos computadores, que mostram as atividades do usuário para outras pessoas.

Nesse contexto de intensa exposição do indivíduo, convém que o Estado atue para proteção dos dados pessoais. Com esse escopo, foi editada a Lei Geral de Proteção de Dados – LGPD.

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

AS DISPOSIÇÕES PRELIMINARES DA LGPD

Marcel Brasil de Souza Moura

8

Segundo o entendimento de PINHEIRO (2018, p. 16):

O espírito da lei foi proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, trazendo a premissa da boa-fé para todo o tipo de tratamento de dados pessoais, que passa a ter que cumprir uma série de princípios, de um lado, e de itens de controles técnicos para governança da segurança das informações, de outro lado, dentro do ciclo de vida do uso da informação que identifique ou possa identificar uma pessoa e esteja relacionada a ela, incluindo a categoria de dados sensíveis.

Como se nota, a finalidade da LGPD é a proteção dos particulares em relação a seus dados pessoais. Feitas essas considerações iniciais, passa-se a analisar as disposições preliminares da LGPD. Verifica-se na leitura da LGPD que suas disposições preliminares se dividem da seguinte maneira: objeto (artigo 1º), fundamentos (artigo 2º), aplicação (artigos 3º e 4º), definições de expressões (artigo 5º) e princípios (artigo 6º). A LGPD disciplina as atividades privada e pública de tratamento de dados pessoais. Como se verifica em seu artigo 1º, “o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou pessoa jurídica de direito público ou privado” é disciplinado pela LGPD, cujas normas são de interesse nacional.

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

AS DISPOSIÇÕES PRELIMINARES DA LGPD

Marcel Brasil de Souza Moura

9

Para não deixar dúvidas quanto ao alcance da lei, o parágrafo único do artigo 1º menciona que as disposições da LGPD devem ser observadas pela União, Estados, Distrito Federal e Municípios. Com essa previsão, a LGPD se mostra abrangente em relação a seus destinatários. Merece atenção o artigo 2º, que dispõe sobre os fundamentos da disciplina de proteção de dados pessoais. Esses fundamentos são os seguintes: respeito à privacidade; autodeterminação informativa; liberdade de expressão, de informação, de comunicação e de opinião; inviolabilidade da intimidade, da honra e da imagem; desenvolvimento econômico, tecnológico e inovação; livre iniciativa, livre concorrência e defesa do consumidor; direitos humanos, livre desenvolvimento da personalidade, dignidade e exercício da cidadania pelas pessoas naturais. Nota-se que os fundamentos da LGPD têm correspondência, explícita ou implícita, na Constituição Federal.

Com efeito, o respeito à privacidade tem relação com o direito individual à inviolabilidade do sigilo da correspondência e das comunicações (artigo 5º, XII).

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

AS DISPOSIÇÕES PRELIMINARES DA LGPD

Marcel Brasil de Souza Moura

10

De seu turno, a liberdade de expressão, de informação, de comunicação e de opinião tem fundamento no inciso IX do artigo 5º, segundo o qual “é livre a expressão da atividade intelectual, artística, científica e de comunicação, independentemente de censura ou licença”. Já a inviolabilidade da intimidade, da honra e da imagem têm proteção no inciso X do artigo 5º, segundo o qual “são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação”.

Quanto à livre iniciativa, nota-se que se trata de fundamento da república e da ordem econômica brasileira, enquanto a livre concorrência e a defesa do consumidor são princípios da ordem econômica. Frise-se que a defesa do consumidor também é direito individual (artigo 1º, inciso IV; artigo 5º, inciso XXXII; artigo 170, “caput” e incisos IV e V). Em relação aos direitos humanos, nota-se que a Constituição Federal os protege, por exemplo, enquanto princípio das relações internacionais (artigo 4º, inciso II), bem como quando confere caráter constitucional aos tratados e convenções internacionais sobre direitos humanos aprovados, em dois turnos, por três quintos dos votos dos membros do Senado Federal e da Câmara dos Deputados (artigo 5º, parágrafo 3º).

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

AS DISPOSIÇÕES PRELIMINARES DA LGPD

Marcel Brasil de Souza Moura

11

Quanto ao livre desenvolvimento da personalidade, à dignidade e ao livre exercício da cidadania pelas pessoas naturais, acredita-se que são decorrências do fundamento republicano da dignidade humana (artigo 1º, inciso III). Sobre o fundamento da autodeterminação informativa, convém mencionar a lição de MENDONÇA (2014, p. 18), segundo a qual a autodeterminação informativa “nasceu de uma preocupação específica dentro da proteção do direito à privacidade e intimidade”. Portanto, nota-se que a autodeterminação informativa também tem previsão constitucional (artigo 5º, inciso X).   Sobre tal fundamento, SALDANHA (2019, p. 1) ensina que:

[...] a autodeterminação informativa abriga a filosofia de que o indivíduo titular de dados pessoais deve ser o protagonista das matérias relacionadas ao tratamento de seus dados pessoais, trazendo ao sujeito o foco das operações em preocupação perpétua com a privacidade.

Desse modo, verifica-se que a intenção do legislador, ao fundamentar a LGPD na autodeterminação informativa, é conferir papel ativo aos cidadãos quanto ao uso de seus dados pessoais. COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

AS DISPOSIÇÕES PRELIMINARES DA LGPD

Marcel Brasil de Souza Moura

12

Em resumo, verifica-se que os fundamentos da LGPD têm previsão constitucional, quer implícita, quer explicitamente. Tal constatação demonstra a relevância da disciplina do tratamento de dados para a sociedade brasileira. Prosseguindo, o artigo 3º da LGPD dispõe que ela se aplica a qualquer operação de tratamento de dados realizada no território nacional, desde que atendidos os seguintes requisitos: os dados tenham sido coletados no território nacional; a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional. Merece destaque o fato de que a LGPD tem alcance extraterritorial, ou seja,

efeitos internacionais, na medida em que se aplica também aos dados que sejam tratados fora do Brasil, desde que a coleta tenha ocorrido em território nacional, ou por oferta de produto ou serviço para indivíduos no território nacional ou que estivessem no Brasil (PINHEIRO, 2018, p. 30).

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

AS DISPOSIÇÕES PRELIMINARES DA LGPD

Marcel Brasil de Souza Moura

13

No artigo 4º, a LGPD traz relevantes exceções à sua aplicação. A LGPD não se aplica ao tratamento de dados pessoais realizado por pessoa natural para fins exclusivamente particulares e não econômicos, bem como para fins exclusivamente jornalísticos, artísticos, acadêmicos, de segurança pública, de defesa nacional, de segurança do Estado ou de atividades de investigação e repressão de infrações penais. Igualmente, a LGPD não se aplica ao tratamento de dados pessoais provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto na LGPD. Note-se que, segundo a LGPD, o tratamento de dados realizado para fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais será regido por legislação específica (artigo 3º, §1º).

Esta legislação específica estará vinculada aos ditames da LGPD no que diz respeito aos princípios gerais de proteção e aos direitos do titular.

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

AS DISPOSIÇÕES PRELIMINARES DA LGPD

Marcel Brasil de Souza Moura

14

Também no que concerne ao tratamento de dados realizado para fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais, é proibida sua realização por pessoa de direito privado, exceto em procedimentos sob tutela de pessoa jurídica de direito público que, serão objeto de informe específico à autoridade nacional e que deverão observar a limitação de que fica absolutamente proibido o tratamento da totalidade de dados pessoais por pessoa de direito privado, salvo se possua capital integralmente constituído pelo poder público. A mencionada autoridade nacional é disciplinada nos artigos 55-A a 55-L da LGPD, introduzidos pela Lei n.º 13.853/2019. No artigo 5º, a LGPD define diversas expressões utilizadas em seu texto.   Segundo a LGPD, dado pessoal significa “informação relacionada a pessoa natural identificada ou identificável”. Pessoa natural nada mais é que a pessoa física, ou seja, a pessoa dotada de dignidade humana. A pessoa natural é identificada quando é possível individualizá-la sem necessidade de mais informações. É o que ocorre, por exemplo, quando o controlador (pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais – artigo 5º, inciso VI) tem dados da pessoa natural como nome completo e inscrição no Cadastro de Pessoas Físicas – CPF. Já a pessoa identificável é aquela da qual se possui um dado e, de posse de outro dado, é possível identificá-la.

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

AS DISPOSIÇÕES PRELIMINARES DA LGPD

Marcel Brasil de Souza Moura

15

PINHEIRO (2018, correspondem a

p.25)

ensina

que

dados

pessoais

toda informação relacionada a uma pessoa identificada ou identificável, não se limitando, portanto, a nome, sobrenome, apelido, idade, endereço residencial ou eletrônico, podendo incluir dados de localização, placas de automóvel, perfis de compras, número do Internet Protocol (IP), dados acadêmicos, histórico de compras, entre outros. Sempre relacionados a pessoa natural viva.

No artigo 6º, a LGPD prevê que as atividades de tratamento de dados devem obediência a diversos princípios, quais sejam: boa-fé, finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação, responsabilização e prestação de contas. O princípio da boa-fé traz a ideia de que todos aqueles que atuam no tratamento de dados devem agir conforme o direito. Convém mencionar que a boa-fé se apresenta “dois enfoques: o subjetivo e o objetivo. A boa-fé subjetiva é a consciência ou a convicção de se ter um comportamento conforme ao direito ou conforme à ignorância do sujeito acerca da existência do direito do outro. Já a boa-fé objetiva permite a concreção de normas impondo que os sujeitos de uma relação se conduzam de forma honesta, leal e correta” (PEZZELLA, 1997, p. 199).

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

AS DISPOSIÇÕES PRELIMINARES DA LGPD

Marcel Brasil de Souza Moura

16

Os princípios da finalidade e da adequação, na LGPD, relacionam-se. Com efeito, pelo princípio da finalidade, o tratamento de dados deve se dar para propósitos legítimos devidamente informados ao titular, sendo que, pelo princípio da adequação, o tratamento de dados deve ser compatível com as finalidades informadas ao titular. Os demais princípios são autoexplicativos. De forma geral, convém mencionar o papel dos princípios na interpretação da LGPD. Conforme anotado noutra oportunidade (MOURA, 2019, op. cit), o jurista Robert Alexy

define princípios como ‘mandamentos de otimização’, ou seja, como ‘normas que ordenam que algo seja realizado na maior medida possível dentro das possibilidades jurídicas e fáticas existentes’. Aqui, mandamentos são entendidos em sentido amplo, abrangendo tanto permissões como restrições.

Aplicando tal noção de princípio à LGPD, verifica-se que todos os princípios nela mencionados devem ser aplicados em todos os casos possíveis, considerando-se a realidade de fato. Tome-se como exemplo o princípio do livre acesso, segundo o qual se deve garantir aos titulares dos dados consulta facilitada e gratuita sobre a integralidade de seus dados pessoais, bem como sobre a forma e a duração do tratamento dos dados.

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

AS DISPOSIÇÕES PRELIMINARES DA LGPD

Marcel Brasil de Souza Moura

17

Considerando o princípio do livre acesso como mandamento de otimização, os agentes de tratamento de dados devem facilitar o acesso aos dados nos limites de suas possibilidades. Certamente, a garantia legal de facilitação do acesso não significa que o acesso deve se dar sem qualquer critério, podendo os agentes de tratamento condicionar o acesso à apresentação de documentos e ao fornecimento de informações pelos titulares a fim de assegurar a idoneidade do procedimento.

CONCLUSÃO Neste artigo, foram abordadas as disposições preliminares da LGPD. Inicialmente, foram trazidas considerações gerais sobre a relevância do tratamento de dados na sociedade contemporânea, bem como sobre a finalidade da LGPD, qual seja, proteção dos dados das pessoas. Em seguida, comentou-se, de forma geral, as disposições preliminares da LGPD, que, conforme verificado, dizem respeito ao objeto (artigo 1º), aos fundamentos (artigo 2º), à aplicação material e territorial (artigos 3º e 4º), às definições de expressões (artigo 5º) e aos princípios (artigo 6º) da LGPD.

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

AS DISPOSIÇÕES PRELIMINARES DA LGPD

Marcel Brasil de Souza Moura

18

REFERÊNCIAS MENDONÇA, Fernanda Graebin. O direito à autodeterminação informativa: a (des)necessidade de criação de um novo direito fundamental para a proteção de dados pessoais no Brasil. Fonte: https://online.unisc.br/acadnet/anais/ index.php/sidspp/article/view/11702. Acesso em: 18 nov 2019.   PEZZELLA, Maria Cristina Cereser. O princípio da boa-fé objetiva no direito privado alemão e brasileiro. Revista de direito do consumidor, v. 24/1997. São Paulo: Revista dos Tribunais online, 1997.   PINHEIRO, Patricia Peck. Proteção de dados pessoais: comentários à Lei n. 13.709/2018 (LGPD). São Paulo : Saraiva Educação, 2018.   PUGLIESI, Márcio. Teoria do direito: aspectos macrossistêmicos. São Paulo, Sapere Aude: 2015.   SALDANHA, João. Fundamentos da LGPD: a autodeterminação informativa. Fonte: https://triplait.com/aautodeterminacao-informativa/#.XeF9X-hKiUk. Acesso em: 18 nov 2019.

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

AS DISPOSIÇÕES PRELIMINARES DA LGPD

Marcel Brasil de Souza Moura

19

PROCESSOS PRELIMINARES DO ARTIGO 6º DA LGPD Fernanda Dutra Vieira Lopes¹

As novas perspectivas sobre proteção de dados entre o que se quer, o que de fato se precisa e como adequar os dados adquiridos com as permissões pessoais e as permissões legais. A Lei Geral de Proteção de Dados – LGPD tem como objetivo principal preservar os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, e será aplicada a qualquer pessoa: natural, jurídica, de direito público ou privado, que realize tratamento de dados online e/ou offline. Porém, deve-se sempre lembrar que, no mundo em que se vive atualmente, os dados pessoais da pessoa natural são necessários e até essenciais para diversas áreas comerciais, como, por exemplo, declaração de imposto de renda retido na fonte, na relação de trabalho, no contrato de trabalho, na relação com plano de saúde, que se fazem necessários, além dos dados pessoais comuns, de dados pessoais sensíveis, como tipo sanguíneo, conhecimento de doenças pré existentes, convicção religiosa, etc.

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

¹ Fernanda é Advogada atuante na área trabalhista. Membra da Comissão de Compliance do IASP, membra da Comissão de Direito Digital Tecnologia e Inteligência Artificial da OAB Subseção Jabaquara-SP, membra da Comissão de Direito Médico da OAB Subseção Jabaquara-SP, Mediadora e Conciliadora. Co-autora de livros na área do Direito Trabalhista.

20

Aqui começa a atuação da LGPD para resolver questões tais como quais dados são obrigados, por lei, a serem fornecidos pela pessoa e quais dados precisam de autorização para serem manipulados. Ainda, surge a preocupação de como estes dados serão armazenados, com quem e para quem poderão ser compartilhados, com ou sem autorização da pessoa física e como e quando serão extintos. Se não bastasse, ainda há grande dificuldade de adequação da LGPD que surge com as empresas de telemarketing e com a rapidez da informação através da informática que, em questão de minutos, compartilha com diversos meios de comunicação os dados de diversas pessoas sem suas autorizações, invadindo, assim, a privacidade da pessoa natural e desrespeitando a liberdade e a privacidade do desenvolvimento da personalidade natural.

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

PROCESSOS PRELIMINARES DO ARTIGO 6º DA LGPD

Fernanda Dutra Vieira Lopes

21

De outro lado, deve-se pensar que no mundo capitalista em que se vive hoje, o comércio em geral, as empresas, os fornecedores, os prestadores de serviços e demais atores de mercado, precisam dos dados das pessoas para poderem trabalhar. Assim, deve-se pensar nas necessidades de ambos os lados, entendendo e trabalhando com as leis e o “bom senso” para equilibrar as relações de comercio e de privacidade.

As novas perspectivas sobre proteção de dados Assim, neste panorama, o artigo 6º da LGPD vem auxiliar na resolução destas questões, esclarecendo que

as atividades de tratamento de dados pessoais deverão observar a boa-fé os seguintes princípios: I. finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades; II. adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento; III. necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades dos tratamentos de dados; IV. livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integridade de seus dados pessoais; COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

PROCESSOS PRELIMINARES DO ARTIGO 6º DA LGPD

Fernanda Dutra Vieira Lopes

22

V.  qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento; VI. transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial; VII. segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão; VIII. prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais; IX. não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos; X.  responsabilização e prestação de contas: demonstração pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.”

Desta maneira, é possível verificar ver que a LGPD se esforça para resolver a questão definitivamente, de forma clara e concisa, mas, na prática, não é tão simples assim, como veremos a seguir.

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

PROCESSOS PRELIMINARES DO ARTIGO 6º DA LGPD

Fernanda Dutra Vieira Lopes

23

Antes de se adentrar às duas hipóteses que vão esclarecer a importância do conhecimento e da implantação da LGPD em todos os segmentos de mercado do país, lembre-se que a LGPD surgiu principalmente em decorrência da General Data Protection Regulation (GDPR), que é o Regulamento Geral sobre a Lei de Dados Europeu, regulador da privacidade e proteção de dados pessoais, aplicável a todos os indivíduos na União Europeia e Espaço Econômico Europeu, criado em 2018, servindo de base e de diretriz para a LGPD brasileira. Conforme estudos europeus, em 2018 o Google recebeu uma multa na França de 50 milhões de euros (cerca de US$ 56,8 milhões) por "falta de transparência, informação incorreta e ausência de consentimento válido na publicidade personalizada", esta informação serve para demonstrar a importância da nova lei, que pode destruir uma empresa. A penalização no Brasil não é a mesma da Europa, mas, é tão eficaz e tão comprometida quanto a Europeia, com o fulcro de fazer a diferença e ser fielmente cumprida no Brasil. Neste espeque, de se observar que, embora a LGPD esteja prevista para entrar em vigor no segundo semestre de 2020, as empresas em geral precisam de muito estudo e muito empenho para se adequarem às novas normas e já estão trabalhando nisso, mas o caminho é árduo e longo na maioria dos segmentos.

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

PROCESSOS PRELIMINARES DO ARTIGO 6º DA LGPD

Fernanda Dutra Vieira Lopes

24

Em estudos Brasileiros, segundo pesquisa de setembro de 2019 realizada pela Serasa Experian, 85% das empresas ainda não se sentem prontas para atender às novas regras da LGPD. O levantamento, que ouviu um universo de 508 empresas, de todos os portes e segmentos, indicou ainda, que os setores financeiros, serviços e varejo estão mais preparados para a lei e que o setor de saúde ocupa a última posição, com apenas 8,7% das companhias em conformidade com a lei. Vamos entender na prática, com o exemplo abaixo.

Situação O site de uma farmácia cadastra um usuário como portador de uma doença crônica para incluí-lo em uma mala direta direcionada a pacientes com esta condição. Mesmo que haja interesse em obter vantagem econômica pela empresa farmacêutica, uma vez que o §4º, do artigo 11 da LGPD possibilita o uso de dados referentes à saúde para a assistência farmacêutica, fica claro que a lei não oferece óbice para tal prática, desde que haja consenso específico e destacado do usuário. Caso não haja consentimento, considerando que as farmácias não podem ser enquadradas como serviços de saúde, na forma do artigo 11, inciso II, alínea “f”, da LGPD, o tratamento desses dados restaria vetado. Ou seja, neste caso a lei evita que a farmácia manipule a informação fornecida pela pessoa e a use como bem entender, COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

PROCESSOS PRELIMINARES DO ARTIGO 6º DA LGPD

Fernanda Dutra Vieira Lopes

25

proibindo que envie mala direta que não diz respeito à informação prestada pela pessoa. A informação prestada à farmácia deve ser utilizada unicamente para o serviço solicitado pelo cliente e, caso não seja necessário que a farmácia mantenha os dados do cliente após a efetivação do serviço, os dados devem ser devidamente descartados, de forma correta, para que não caiam em mãos de terceiros. Já, na mesma situação, se a pessoa, ao passar os seus dados para a farmácia, assinar consentimento específico, liberando o uso de seus dados pessoais pela farmácia para receber qualquer mala direta ou outro tipo de informação ou propaganda do estabelecimento, a farmácia poderá fazê-lo sem qualquer problema. Lembrando que, neste segundo caso, a pessoa pode suspender a autorização a qualquer tempo, sem qualquer explicação, somente solicitando que seus dados sejam retirados do banco de dados do estabelecimento.

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

PROCESSOS PRELIMINARES DO ARTIGO 6º DA LGPD

Fernanda Dutra Vieira Lopes

26

Contudo, quando a pauta é proteção de dados pessoais e dados pessoais sensíveis na área da saúde, não é demais lembrar que o sistema é bem maior e envolve muitos setores e diversas ramificações, pois aqui envolvem hospitais, clínicas médicas, laboratórios, farmácias, SUS, ambulâncias e a própria pessoa física, lembrando, ainda, que esta questão abrange o setor público e privado e, por isso, o desafio é bem maior do que em muitos outros setores da sociedade. Se não bastassem todos os desafios que a área da saúde tem que enfrentar, as pessoas ainda devem se preocupar com as quadrilhas do crime organizado digital que miram no ataque a essas estruturas, visando obter alguma vantagem, através do sequestro dos dados e o crime de chantagem (crime de extorsão). Assim, para se adaptar as novas normas da LGPD, a área da saúde precisa não só se proteger pelas maneiras convencionais, mas deve, ainda, ter mais investimento na área de cybersegurança, para manter protegidos os dados pessoais de seus pacientes.

É relevante ressaltar que sempre existiu a preocupação em relação à segurança dos dados e informações obtidas pelas empresas, mas não havia vigilância. Com a implantação da LGPD, as consequências em função de eventual vazamento de dados pessoais serão bem mais sérias, com multas altíssimas por infração, além da exposição do nome da empresa.

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

PROCESSOS PRELIMINARES DO ARTIGO 6º DA LGPD

Fernanda Dutra Vieira Lopes

27

Muitas vezes, em função de uma má reputação, uma empresa nunca mais se levanta, podendo este prejuízo ser ainda maior do que o financeiro.

CONCLUSÃO Com estas constatações sobre as dificuldades e necessidade de implantação da LGPD, conclui-se que um dos itens mais relevantes para que se atinja os objetivos é observar o Princípio da Transparência, através do qual a empresa apresenta de forma clara e concisa aos seus clientes, parceiros e a toda a sociedade, quais os dados pessoais se utilizar para cada processo em seus negócios, para quê precisa de tais dados, com quem eles poderão ser compartilhados, porquê serão compartilhados, se os dados serão adquiridos com permissão legal ou permissão específica da pessoa e de que maneira se recolherá a permissão. Aqui observa-se que, conforme mencionado no artigo 6º da LGPD, para haver transparência é necessário que seja informado à pessoa qual a finalidade, adequação e necessidade do uso do dado solicitado, bem como seja especificado quais os dados serão utilizados, para quem serão repassados e por qual motivo, permitindo à pessoa, a qualquer momento, ter acesso às informações coletadas, saber de onde foram obtidas e qual a justificativa para manterem tais informações, quer seja legal ou por consentimento.

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

PROCESSOS PRELIMINARES DO ARTIGO 6º DA LGPD

Fernanda Dutra Vieira Lopes

28

Se tratando de consentimento, caso a pessoa solicite, a empresa deverá demonstrar que aquela consentiu com o uso dos dados, conforme especificado, sendo que o consentimento deve ser livre de qualquer vício e deve poder ser suspenso pela pessoa titular dos dados a qualquer momento. Por fim, é sabido que, mesmo cumprindo com todas as exigências da lei e estando em conformidade com todas as normas de conduta, é possível que haja vazamento de dados nas empresas, talvez por má fé de algum funcionário ou por invasão de “hakers”, ou qualquer outro motivo. Desta maneira, é essencial que as empresas já estejam preparadas para atuar em caso de vazamento de dados, para mitigar os danos para a pessoa física e até para a própria empresa, bem como conheça as responsabilidades perante a lei, caso em que as pessoas deverão ser avisadas em tempo hábil para se protegerem, caso seja necessário, independentemente de quais dados foram vazados.

Aqui vale ressaltar que a lei ainda não estipulou um prazo para que o aviso seja feito, mas, como na GDPR o prazo é de até 72 horas, provável que no Brasil se utilize o mesmo prazo para informar o cidadão e os demais interessados no caso de vazamento de dados pessoais. COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

PROCESSOS PRELIMINARES DO ARTIGO 6º DA LGPD

Fernanda Dutra Vieira Lopes

29

Fato é que, em caso de incidente de segurança envolvendo dados pessoais, é o controlador quem deve analisar os fatos e a existência de eventuais riscos e danos, sendo este o responsável por comunicar a ANPD e a pessoa titular do dado em prazo razoável que permita aos envolvidos buscar a mitigação dos danos causados. Vale ressaltar que, conforme artigo 45, caput, da LGPD, O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo, salvo exceções do artigo 43 da mesma lei. Enfim, neste momento a sociedade busca estudar e se preparar para os desafios que virão concretamente com a entrada em vigor da LGPD e, quanto mais preparada  estiver, menores as chances de erros ou de incidentes e maior a probabilidade de uma sociedade contributiva, permitindo a aplicação da LGPD de maneira eficaz e sem prejuízos para quaisquer dos envolvidos.

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

PROCESSOS PRELIMINARES DO ARTIGO 6º DA LGPD

Fernanda Dutra Vieira Lopes

30

REFERÊNCIAS BRASIL. Constituição da República Federativa do Brasil. Fonte: http://www.planalto.gov.br/ccivil_03/_Ato20152018/2018/Lei/L13709compilado.htm. Acesso em 20/01/2020   BRASIL. WIKIPÉDIA a Enciclopédia livre. Fonte: https://pt.wikipedia.org/wiki/Regulamento_Geral_sobre_a_Pro te%C3%A7%C3%A3o_a_de_Dados. Acesso em 20/01/2020   PICCELLI, Roberto Ricomini. Saúde na lei de proteção de dados: proibições e permissões. JOTA, veículo de imprensa. 31/07/2019. Fonte: https://www.jota.info/paywall? redirect_to=//www.jota.info/opiniao-e-analise/artigos/saudena-lei-de-protecao-de-dados-proibicoes-e-permissoes31072019. Acesso em 20/01/2020.   GOMES, Helton Simões. Google recebe maior multa já aplicada por violar dados pessoais na Europa. 21/01/2019. Fonte:  https://www.uol.com.br/tilt/noticias/redacao/2019/01/21/googl e-e-multado-na-franca-por-violar-de-dados-pessoais.htm? cmpid=copiaecola, Acesso em 20/01/2020. O que são dados sensíveis, de acordo com a LGPD. SERPRO – Serviço Federal de Processamento de Dados. Fonte: http://www.serpro.gov.br/lgpd/menu/protecao-dedados/dados-sensiveis-lgpd. Acesso em 20/01/2020

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

PROCESSOS PRELIMINARES DO ARTIGO 6º DA LGPD

Fernanda Dutra Vieira Lopes

31

Walar IT Business. Fonte: https://www.walar.com.br/campanha/download/eBook_GPD_ WLR_v2.0.pdf. Acesso em 15/12/2019. MALDONADO, Viviane Nóbrega; BLUM, Renato Opice. Lei Geral de Proteção de Dados Comentada. 2ª Ed. São Paulo. Thomson Reuters Revista dos Tribunais, 2019.

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

PROCESSOS PRELIMINARES DO ARTIGO 6º DA LGPD

Fernanda Dutra Vieira Lopes

32

O TRATAMENTO DE DADOS PESSOAIS DE CRIANÇAS E ADOLESCENTES Leticia Lefevre¹

A Lei Federal nº 13.709, de 14 de agosto 2018, denominada Lei Geral de Proteção de Dados (LGPD), tem como objetivo dispor sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com a finalidade de proteger os direitos fundamentais de liberdade e de privacidade, bem como o livre desenvolvimento da personalidade da pessoa natural. Originada do conteúdo extraído da GDPR - General Data Protection Regulation, a regulação de proteção de dados da União Europeia (EU), a LGPD segue o mesmo sentido de proteger a privacidade de acordo, observando-se o cenário tecnológico atual. Esse trabalho trata-se da análise da legislação, por meio de uma visão geral sobre as inovações trazidas pela LGPD no tocante ao tratamento de dados pessoais de crianças e adolescentes. Assim, esse artigo é um convite a um olhar teórico sobre o futuro do tratamento de dados de crianças e adolescentes, em um mundo globalizado e dinâmico como estamos vivendo hoje. COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

¹ Letícia é Advogada, pós Graduada em Direito Empresarial, possui MBA em Gestão. PósGraduanda em Inclusão e Direito das Pessoas com Deficiência pela CBI of Miami. Membra da CDDTIA -  Comissão de Direito Digital Tecnologia e Inteligência Artificial da OAB/SP Subsecção Jabaquara-Saúde

33

O mundo está cada vez mais dinâmico e ágil; quase tudo se resolve com as pontas dos dedos em um simples clique. E crianças e adolescentes sabem disso.

Antes de qualquer análise sobre o tratamento de dados de crianças e adolescentes, é necessário saber o que existe em nosso ordenamento jurídico acerca da proteção de seus dados pessoais. Está previsto no caput do artigo 227 da Constituição Federal (CF) que é dever da família, da sociedade e do Estado, assegurar à criança e ao adolescente, com absoluta prioridade, o direito à vida, à saúde, à alimentação, à educação, ao lazer, à profissionalização, à cultura, à dignidade, ao respeito, à liberdade e à convivência familiar e comunitária, além de colocá-los a salvo de toda forma de negligência, discriminação, exploração, violência, crueldade e opressão. Nesse sentido, é a família a responsável por essas crianças e adolescentes, devendo sempre resguardar sua segurança e bem-estar.

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

O TRATAMENTO DE DADOS PESSOAIS DE CRIANÇAS E ADOLESCENTES

Leticia Lefevre

34

Já o artigo 5º, da Constituição Federal, que trata das garantias fundamentais, dispõe em seu inciso X que são invioláveis a intimidade, a privacidade, a honra  e a  imagem  das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação. Ocorre que, hoje em dia, diante dos avanços tecnológicos, a quebra dessas garantias fundamentais se torna cada vez mais recorrente, inclusive na vida de crianças e adolescentes, resultando em danos materiais e, principalmente, morais, que muitas vezes trazem consequências irreparáveis em razão da repercussão social de certos atos. A Convenção dos Direitos da Criança, da Organização das Nações Unidas (ONU) de 1989, estabelece que sempre será levado em consideração o melhor interesse da criança. A Convenção considera criança, em seu artigo 1º, todo ser humano com menos de 18 anos de idade, salvo quando, em conformidade com a lei aplicável à  criança, a maioridade seja alcançada antes. Nessa Convenção, houve uma mudança de paradigma pelo qual criança passa a ser sujeito de direitos, digna de proteção e tutela especifica. No mesmo sentido, não deve ser esquecido o Estatuto da Criança e do Adolescente (ECA), marco legal interno na defesa dos direitos das crianças e adolescentes, que ,em seu

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

O TRATAMENTO DE DADOS PESSOAIS DE CRIANÇAS E ADOLESCENTES

Leticia Lefevre

35

artigo 2º, determina que criança, para os efeitos desta Lei, é a pessoa até doze anos de idade incompletos e, adolescente, é aquela entre doze e dezoito anos de idade. Em seu artigo 7º, o ECA prevê que crianças e adolescentes devem ter um desenvolvimento sadio e harmonioso e, para tanto, devem ter resguardadas suas informações. Esse mesmo diploma legal, em seu artigo 16, determina o direito à liberdade de se expressar, que deve ser sempre respeitado, devendo a opinião dessas crianças e adolescentes ser respeitada, sem intromissões arbitrárias, mas com os devidos cuidados. Já o artigo 17 do ECA prevê o direito ao respeito, que consiste na inviolabilidade da integridade física, psíquica e moral da criança e do adolescente, abrangendo, portanto, a preservação da imagem, da identidade, da autonomia, dos valores, ideias e crenças, dos espaços e objetos pessoais.

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

O TRATAMENTO DE DADOS PESSOAIS DE CRIANÇAS E ADOLESCENTES

Leticia Lefevre

36

Em relação ao consentimento dos pais, deve-se levar em consideração o previsto no Código Civil, em seus artigos 3º e 4º, que declara que menores de 16 anos são absolutamente incapazes de exercer atos da vida civil, de modo que também está incluído neste rol, os dados pessoais. Por outro lado, os maiores de 16 anos, são considerados relativamente incapazes, podendo exercer certos atos de sua vida civil, sempre com a assistência de seus pais ou representantes legais. Já a Lei nº 12.965, de 23 de abril de 2014, conhecida como Marco Legal da Internet, em seu artigo 29, concede permissão de controle parental em relação ao conteúdo compreendido como impróprio a seus filhos menores, desde que respeitado o ECA.

Apesar de o Brasil ter Leis que protegem os dados pessoais de crianças e adolescentes, com o advento do mundo digital e globalizado, haveria necessidade da legislação se enquadrar no que está acontecendo no mundo e estabelecer esclarecimentos em relação a alguns pontos.

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

O TRATAMENTO DE DADOS PESSOAIS DE CRIANÇAS E ADOLESCENTES

Leticia Lefevre

37

O Tratamento dos dados A GDPR - General Data Protetion, de 25 de maio de 2018, veio para apresentar alterações substanciais acerca da proteção de dados pessoais nos países da União Europeia. Seu artigo 8º, juntamente com os “considerandos” 38 e 65, trazem pontos relevantes em relação aos dados pessoais de crianças e adolescentes. No mesmo sentido, a Lei nº 13 709, de 14 de agosto de 2018 (LGPD), veio legislar sobre a proteção de dados pessoais. Foram definidos os tipos de dados pessoais no artigo 5º da LGPD. Sendo eles: dado pessoal, dado pessoal sensível e dado anonimizado. Todavia, o legislador não deixou muito clara a distinção entre dado pessoal não sensível e dado pessoal sensível. Dessa maneira, a análise de cada caso deve ser dinâmica e dependerá sempre do contexto. Tudo porque uma mera definição não impedirá a utilização de algoritmos e inteligência artificial, sendo possível, a partir do dado pessoal não sensível, obter-se um dado pessoal sensível. Essa preocupação com os dados sensíveis advém do fenômeno da publicidade baseada no comportamento das pessoas para traçar perfis de consumo.

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

O TRATAMENTO DE DADOS PESSOAIS DE CRIANÇAS E ADOLESCENTES

Leticia Lefevre

38

Os dados sensíveis possibilitam conclusões a respeito de um indivíduo como um todo, como por exemplo, sua orientação sexual, sua religião, alguma doença que possa ter e, com essas informações, torna-se muito perigoso que as pessoas venham a ser classificadas de forma preconceituosa, interferindo diretamente em seus direitos e liberdades individuais. Por isso, quem coleta dados sensíveis de seus usuários deve atender às determinações da LGPD e todos os pontos devem ser levados em consideração, tais como: se houve consentimento livre, informado, inequívoco, expresso e específico sobre a coleta dos dados; se foi explicado como os dados serão tratados e de cada uso dos dados foi explicado para o titular. Tudo deve constar nos termos de uso do serviço prestado, garantindo que os dados sensíveis sejam preservados, dando a opção ao usuário de consentir ou não com cada possível uso.

A LGPD dedicou um artigo específico sobre o tratamento dos dados pessoais de crianças e adolescentes.

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

O TRATAMENTO DE DADOS PESSOAIS DE CRIANÇAS E ADOLESCENTES

Leticia Lefevre

39

O artigo 14 da LGPD trata exclusivamente do tratamento de dados pessoais de crianças e adolescentes. No entanto, não faz qualquer distinção se os dados pessoais desse público são sensíveis ou não; a regra é uma só. No caput desse artigo, é mantida a determinação estabelecida na Convenção dos Direitos da Criança que: para o tratamento dos dados pessoais, deve ser levado sempre em consideração o melhor interesse da criança e do adolescente.   Já o §1º do artigo 14 da LGPD determina que o tratamento de dados pessoais de crianças deverá ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal. Nesse caso, não podemos esquecer o estabelecido no ECA que considera criança, para os efeitos legais, a pessoa até doze anos de idade incompletos e adolescente aquela entre doze e dezoito anos de idade. No entanto, um ponto que a Lei não deixa claro, mas que deve ser levado em consideração, é que os dados de menores 12 anos (crianças) podem ser tratados, porém não especifica se podem ser divulgados ainda que com a autorização dos pais. No artigo 14, §2º da LGPD, é estabelecida a obrigação dos controladores de manter pública a informação sobre os tipos de dados coletados, a forma de sua utilização, bem como estabelecer os procedimentos para o exercício dos direitos do titular. COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

O TRATAMENTO DE DADOS PESSOAIS DE CRIANÇAS E ADOLESCENTES

Leticia Lefevre

40

Então, os controladores - que são os responsáveis pelo tratamento desses dados - deverão manter pública a informação sobre os tipos de dados coletados; a forma de sua utilização e os procedimentos para o exercício dos direitos, conforme regras específicas. Um dos pontos que merece destaque diz respeito ao fato de que os controladores não deverão condicionar a participação dos titulares em jogos, aplicações de internet ou outras atividades ao fornecimento de informações pessoais, além das estritamente necessárias à atividade. Porém, há uma exceção de coleta de dados pessoais de crianças sem o consentimento. Ela está prevista no §3º, do mesmo artigo 14 da LGPD, e se refere à permissão de coleta de dados pessoais de crianças sem o consentimento na hipótese em que a coleta for necessária para contatar os pais ou o responsável legal. Nesse caso, os dados poderão ser utilizados uma única vez, não poderão ser armazenados e, em nenhum caso, poderão ser repassados a terceiros, sem o consentimento expresso de pelo menos um dos pais ou do responsável legal.

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

O TRATAMENTO DE DADOS PESSOAIS DE CRIANÇAS E ADOLESCENTES

Leticia Lefevre

41

Serviços ofertados pela internet e direcionados a crianças, como por exemplo jogos e desenhos animados, não devem ser condicionados ao fornecimento de informações pessoais, salvo as estritamente necessárias à atividade, conforme o previsto no §4º do art.14. Para a maioria dos serviços on-line,  é necessário o consentimento dos pais ou responsáveis  para processar os dados pessoais de uma criança com base no consentimento até uma certa idade.  Isso se aplica a sites de redes sociais e plataformas para baixar músicas e comprar jogos online. Está previsto, também, que o responsável pelo tratamento deverá sempre empregar esforços para verificar se de fato aquele que deu o consentimento era o real responsável pela criança, como preconiza o artigo 14, § 5º. Para haver uma adequação efetiva à LGPD, as empresas deveriam apresentar mecanismos eficazes para verificar se o consentimento dado está realmente de acordo com a Lei. Medidas de verificação de idade poderiam ser implementadas, como, por exemplo, formular uma pergunta que só os pais ou responsáveis soubessem responder, ou, ainda, solicitar que, para o cadastro da criança fosse fornecido o e-mail de seus pais para permitir o consentimento por escrito. Por fim, de acordo com o §6º do referido art.14, as informações sobre o tratamento e coleta de dados precisa se adequar à capacidade de compreensão das crianças e dos

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

O TRATAMENTO DE DADOS PESSOAIS DE CRIANÇAS E ADOLESCENTES

Leticia Lefevre

42

adolescentes, podendo, nesse aspecto, valer-se da utilização de recursos audiovisuais, levando-se em conta as características físico-motoras, perceptivas, sensoriais, intelectuais e mentais do usuário, de forma a proporcionar a informação necessária aos pais ou ao responsável legal e adequada ao entendimento da criança quando adequado. É necessário se reconheça a vulnerabilidade desse público prestando todas as informações que eles possam necessitar para dar-se a efetiva compreensão e consentimento. Qualquer informação endereçada especificamente a uma criança deve ser adaptada para ser  facilmente acessível, usando linguagem clara e objetiva.

Crianças e adolescentes merecem proteção específica em relação a seus dados pessoais, pois não têm consciência dos riscos, das consequências e de seus direitos em relação ao processamento de dados pessoais.

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

O TRATAMENTO DE DADOS PESSOAIS DE CRIANÇAS E ADOLESCENTES

Leticia Lefevre

43

Outra inovação trazida pela LGPD em relação à proteção de crianças e adolescentes está no direito ao esquecimento, que prevê que um titular de dados terá o direito de ter seus dados “esquecidos” quando bem desejar. Conforme o que determina o artigo 18, em seu inciso VI da LGPD, é permitida a eliminação dos dados pessoais tratados com o consentimento do titular quando solicitado por ele. Essa nova prerrogativa é relevante, principalmente quando o titular dos dados der seu consentimento quando adolescente, época em que, por falta de experiência de vida, não está ciente dos riscos envolvidos no processo de divulgação de informações.

Assim, é lícito que, posteriormente, o titular de direitos queira remover seus dados pessoais, especialmente da internet. Como a lei brasileira é muito recente e sua vigência está prevista para agosto de 2020, não há casos práticos parasaber qual será a melhor forma de resolução de vazamento de dados de crianças e adolescentes. No entanto, o melhor interesse da criança e do adolescente deve ser considerado sempre como princípio fundamental a ser observado nas situações concretas.

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

O TRATAMENTO DE DADOS PESSOAIS DE CRIANÇAS E ADOLESCENTES

Leticia Lefevre

44

Um caso prático que pode ser citado está em um evento ocorrido na Alemanha. A agência reguladora de telecomunicações daquele país proibiu a venda de smartwatches focados em crianças. Segundo a instituição, esses equipamentos seriam basicamente dispositivos para espionagem de menores, em razão da existência de graves falhas de segurança. A intimidade e privacidade das crianças estariam, portanto, violadas, o que não se pode admitir. Outro caso prático, também na Alemanha, se refere a boneca Cayla. Esse brinquedo trazia falhas de segurança que permitiam que qualquer pessoa conseguisse conectá-lo por meio de um telefone celular. As falhas de segurança permitiram, pois, comunicação com a criança, além de ouvila à distância, enquanto ela estivesse interagindo com o brinquedo. Além disso, tudo o que as crianças falassem perto ou para o brinquedo era gravado e enviado a uma empresa especializada em tecnologias de reconhecimento.

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

O TRATAMENTO DE DADOS PESSOAIS DE CRIANÇAS E ADOLESCENTES

Leticia Lefevre

45

Um caso que chamou a atenção do público foi o da jovem cuja gravidez foi divulgada à família, mesmo antes da jovem divulgá-la pessoalmente: de posse de seus dados pessoais, uma loja de departamento enviou à residência da jovem um catálogo com produtos para bebê O pai da jovem, inconformado com o assédio da loja, dirigiuse à loja para perguntar por que o catálogo tinha sido enviado à filha. Ao questionar a empresa, soube que a filha estava grávida. Isso ocorreu porque, após pesquisa na internet, a empresa municiou-se de informações pessoas da jovem, coletou seus dados pessoais, tratou-os e enviou a mala direta. Vê-se, nesse caso, outro caso grave de violação às garantias fundamentais de privacidade e intimidade da pessoa.

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

O TRATAMENTO DE DADOS PESSOAIS DE CRIANÇAS E ADOLESCENTES

Leticia Lefevre

46

CONCLUSÃO A Lei Geral de Proteção de Dados é um avanço em relação aos direitos de crianças e adolescentes no âmbito digital. A LGPD foi assertiva em relação a proteção de dados pessoais de crianças pois até 12 anos incompletos, esse público está protegido nos termos da Lei. Essa preocupação decorre do fato de que, segundo pesquisadores, até 12 anos, uma criança não tem pensamento abstrato formado completamente. Inclusive, até essa idade é difícil que essa criança consiga fazer uma análise crítica de fatores abstratos. Com isso, não conseguem entender sobre o tratamento de dados de forma completa, razão pela qual o consentimento deve ser dado pelos pais. Porém, alguns pontos não foram levados em consideração pelos legisladores. O caput do adolescentes.

artigo

14

da

LGPD

trata

de

crianças

e

No entanto, nos seus parágrafos 1º, 3º, 4º e 5º, tratam apenas de crianças, não contemplando os adolescentes, permitindo, portanto, que, para tratar dados pessoais desse público não haja a necessidade expressa de pais ou responsáveis Entretanto, o legislador deixa uma brecha para os dados pessoais dos adolescentes, principalmente para a faixa etária.

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

O TRATAMENTO DE DADOS PESSOAIS DE CRIANÇAS E ADOLESCENTES

Leticia Lefevre

47

de 13 a 16 anos incompletos, permitindo a esse público a possibilidade de consentir diretamente acerca do tratamento de seus dados pessoais, sem qualquer respaldo de pais ou responsáveis e a despeito da limitação contida no artigo 3º do Código Civil. Saliente-se que, apesar desse público já ter ciência de alguns direitos, dificilmente terão maturidade intelectual e experiência de vida para que, com clareza, entendam o que será feito com seus dados pessoais. A maior preocupação hoje, no tocante ao tratamento de dados de crianças e adolescentes, é que, muitas vezes, eles rapidamente desenvolvem habilidades, tendo a imediata capacidade crítica de entender aquele uso. Mas o público de 13 a 16 incompletos anos é considerado absolutamente incapaz para praticar quaisquer atos da vida civil. Ao concordar com termos de uso de redes sociais, sites de jogos, é celebrado um negócio jurídico entre as partes, sendo que esse público não tem condições de, nessa idade, avalizar o que é melhor para si. Já os adolescentes a partir de 16 anos completos, segundo o Código Civil, são relativamente incapazes, sendo necessária o acompanhamento dos pais ou responsáveis para os atos da vida civil. Ao ser permitido que jovens de 13 a 18 anos tratem de dados pessoais, está sendo concedido a eles a permissão de celebrar negócios jurídicos sem o consentimento dos pais, COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

O TRATAMENTO DE DADOS PESSOAIS DE CRIANÇAS E ADOLESCENTES

Leticia Lefevre

48

sendo que seus dados, inclusive os sensíveis, poderão ser coletados, tratados e divulgados havendo um risco iminente de prejuízos a esse público vulnerável. Mesmo com o direto ao esquecimento, o dano será causado ao adolescente e o impacto na vida desses jovens pode ser bem preocupante pois pode ser irreversível. É fato que crianças e adolescentes são pessoas em desenvolvimento e é necessário assegurar a sua autonomia e liberdade para resguardar seu livre desenvolvimento de sua personalidade no âmbito digital. No entanto, entende-se que dados de crianças e adolescentes devem ser tratados de forma especial, conforme determina a LGPD, porque está de acordo com a salvaguarda do melhor interesse da criança e do adolescente corroborando com o que preceituam a Convenção dos Direitos da Criança e do Adolescente como também o ECA. Dessa maneira, entende-se que deve ser dado o consentimento expresso dos pais os responsáveis quando se tratar de coleta, armazenamento e tratamento de dados pessoais tanto de crianças quanto de adolescentes.

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

O TRATAMENTO DE DADOS PESSOAIS DE CRIANÇAS E ADOLESCENTES

Leticia Lefevre

49

REFERÊNCIAS BRASIL. Estatuto da Criança e do Adolescente Fonte:  http://www.planalto.gov.br/ccivil_03/Leis/L8069.htm. Acesso em: 29/11/2019.   Convenção dos Direitos da Criança. Fonte: https://www.unicef.org/brazil/convencao-sobre-os-direitos-dacrianca. . Acesso em: em 28/11/2019   BRASIL. Lei Geral de Proteção de Dados. Fonte: http://www.planalto.gov.br/ccivil_03/_ato20152018/2018/Lei/L13709.htm . Acesso em 06/12/2019.   BRASIL. Marco Civil da Internet. Fonte: http://www.planalto.gov.br/ccivil_03/_ato20112014/2014/lei/l12965.htm. Acesso em 08/12/2019.   LGPD e o tratamento de dados sensíveis e de crianças e adolescentes. Fonte: https://www.kustermachado.adv.br/lgpd-e-o-tratamento-dosdados-pessoais-sensiveis-e-de-criancas-e-adolescentes/? fbclid=IwAR03GXqUIVVO0dAMSydMaIsL9Xnn72C6Vufi7HbkuTUnICgUhA8zydwhnc. Acesso em 04/12/2019. General Data Protetion Regulation. Fonte: https://gdprinfo.eu/art-8-gdpr/  Acesso em 08/12/2019

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

O TRATAMENTO DE DADOS PESSOAIS DE CRIANÇAS E ADOLESCENTES

Leticia Lefevre

50

BRASIL. Lei Geral de Proteção de Dados. Fonte http://www.planalto.gov.br/ccivil_03/_ato20152018/2018/lei/L13709.htm. Acesso em 19/11/2019.   Alemanha proíbe a venda de smartwatches para crianças. Fonte: https://www.tecmundo.com.br/internet/124287alemanha-proibe-venda-smartwatches-criancas.htm . Acesso em 08/12/20019.   Governo alemão proíbe a venda da boneca espiã. Fonte: https://www.dw.com/pt-br/governo-alem%C3%A3opro%C3%ADbe-venda-de-boneca-espi%C3%A3/a-37609353. Acesso em 08/12/20019.   4º Simpósio Crianças e Adolescentes na Internet Debate sobre a LGPD. Fonte: https://www.youtube.com/watch? v=bu1V03nA3Ng. Acesso em 15/11/2019.   How Target figured out a teen girl was pregnant before her father did? Fonte: https://www.forbes.com/sites/kashmirhill/2012/02/16/howtarget-figured-out-a-teen-girl-was-pregnant-before-herfather-did/#7dae4b3f6668. Acesso em 08/12/20019.

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

O TRATAMENTO DE DADOS PESSOAIS DE CRIANÇAS E ADOLESCENTES

Leticia Lefevre

51

DOS DIREITOS DO TITULAR Andréia da Costa Pereira dos Santos¹

Finalmente o empoderamento dos indivíduos enquanto titulares de seus dados O tema relativo aos direitos do titular consiste em ponto de extrema importância no contexto da proteção de dados pessoais e, por consequência, para a própria Lei Geral de Proteção de Dados Pessoais (LGPD) assim como também é para a norma que serviu de inspiração para seu surgimento: a GDPR - General Data Protection Regulation (sigla em inglês para Regulamento Geral de Proteção de Dados, legislação europeia que trata deste tema, em vigor desde 25/05/2018), uma vez que ambos diplomas legais posicionam o titular ou seja, o indivíduo a quem se referem os dados pessoais que são objeto de tratamento, como personagem central no contexto da privacidade e da proteção de dados pessoais. A LGPD surge, portanto, com o objetivo de garantir os direitos fundamentais de liberdade, intimidade e privacidade do titular e em particular seu capítulo III propõe-se a apresentar uma série de direitos específicos que podem ser sintetizados nos chamados direitos ARCO: Acesso, Retificação, Cancelamento (chamado no Brasil de eliminação) e Oposição, conceito também oriundo do continente europeu.

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

¹ Andreia é Advogada com atuação na área de Contratos e Consultoria Graduada em Administração de Empresas e pós graduada em Direito Civil e Processual Civil e em Direito. Integrante da Comissão de Direito Digital, Tecnologia e Inteligência Artificial da OAB/SP, subsecção Jabaquara-Saúde.

52

Além disso, este capítulo define a forma como estes direitos podem ser plenamente exercidos, assim como, as situações que se constituem em exceções. Também possui o condão de reforçar conceitos vistos anteriormente, mas, principalmente, solidifica a ideia fundamental da LGPD que concentra seus dispositivos no titular dos dados pessoais. Os artigos deste capítulo precisam, portanto, ser interpretados em conformidade com os artigos anteriores para que se compreenda sua real extensão: que os dados das pessoas naturais (mais conhecidas como pessoas físicas) que lhes digam respeito, pertencem somente a elas de forma indissociável. Esse direito é irrenunciável e não pode ser cedido ou transmitido. Importante salientar, ainda, que esta proteção legal restringe-se aos dados classificados pela lei como pessoais assim como também não abrange os dados relativos às pessoas jurídicas.

Em linhas gerais, deve ser garantida ao titular a confirmação da existência de tratamento de seus dados pessoais e, ocorrendo esta confirmação, deve ser concedido a ele o acesso facilitado às informações sobre esse tratamento, bem como, a possibilidade de exigir do agente de tratamento desses dados (controlador ou operador), a qualquer momento e mediante requisição, os direitos estipulados a seguir. COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

DOS DIREITOS DO TITULAR

Andréia da Costa Pereira dos Santos

53

A correção de dados incompletos, inexatos ou desatualizados, dispositivo que tem por objetivo garantir a precisão dos dados dos titulares a fim de evitar os riscos relacionados a problemas de identificação de pessoas tanto dentro do território nacional como também no âmbito internacional, inibindo a proliferação de fraudes especialmente no ambiente on-line. Temos, ainda, como direito do titular a anonimização de dados pessoais desnecessários, excessivos ou tratados em desconformidade com a LGPD a qual consiste em procedimento por meio do qual um dado perde a possibilidade de identificar um titular. No entanto, sua efetividade depende de utilização de técnicas de elevado grau de dificuldade, que possibilitem determinado grau de confiança na sua irreversibilidade, sem o qual a técnica perde por completo a sua finalidade de proteção. Por esta razão, assim como nas demais hipóteses em que a LGPD menciona  sua realização como mera possibilidade[2], também neste item pode-se concluir que o exercício ao direito à anonimização não se dá de forma ilimitada, fazendo com que a depender da situação fática apresentada, a falta de execução da anonimização não seja considerada descumprimento por parte do agente de tratamento para os fins especificados nestes dispositivos.

[2] Artigos 7º, inciso IV, 11, inciso II, c, 13, caput, e 16, inciso II da LGPD.

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

DOS DIREITOS DO TITULAR

Andréia da Costa Pereira dos Santos

54

Ainda em relação aos dados desnecessários, excessivos ou tratados em desconformidade com a LGPD, o titular poderá solicitar ao controlador seu bloqueio   ou eliminação, sendo que o primeiro consiste em medida temporária enquanto que a eliminação ocorre de forma definitiva. O bloqueio ocorre mediante guarda dos dados pessoais ou do conjunto estruturado de dados pessoais (banco de dados), cabendo ao controlador adotar tal medida após avaliação, de ofício ou mediante requisição do titular quanto a necessidade e licitude do tratamento dos dados. Já no que diz respeito à eliminação, além de decorrer do tratamento em desconformidade com a LGPD, também deve ser realizada por ocasião do término do tratamento de dados, ressalvadas as hipóteses estabelecidas na lei. O titular poderá, ainda, requerer a portabilidade, que consiste no direito de transferir seus dados pessoais de um controlador para outro. Para tanto, o agente de tratamento deverá disponibilizar os dados de forma estruturada que permita e facilite sua transferência da mesma forma que já ocorre, por exemplo, na portabilidade de números telefônicos. Importante observar também que o agente de tratamento é obrigado a disponibilizar ao titular tão somente os dados pessoais coletados e não os dados e informações originados do tratamento efetuado, tais como, por exemplo, o perfil de consumo do titular desenvolvido pelo controlador com base em recursos e técnicas inerentes ao seu negócio que configuram-se como segredo comercial.

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

DOS DIREITOS DO TITULAR

Andréia da Costa Pereira dos Santos

55

Já, a  requisição expressa  exigida para efetivação da portabilidade diz respeito à manifestação de vontade do titular de forma manifesta e inequívoca, ou seja, deve haver uma ação do titular indicando sua vontade, podendo ser efetuada de forma escrita, verbal ou por qualquer meio que transmita sua vontade de forma precisa. No que tange a eliminação especificamente dos dados que vinham sendo tratados com fundamento na base legal do consentimento, esta só não poderá ocorrer se houver obrigação legal ou regulatória a ser cumprida pelo controlador, estudo por órgão de pesquisa, transferência a terceiro ou, ainda, uso exclusivo do controlador após anonimização (hipóteses previstas no artigo 16). Também é garantida ao titular, a obtenção de informações sobre as entidades públicas e privadas com as quais o controlador tenha realizado o compartilhamento de seus dados pessoais.

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

DOS DIREITOS DO TITULAR

Andréia da Costa Pereira dos Santos

56

É assegurado ao titular, ainda, receber antes da coleta de seus dados e independentemente de qualquer solicitação, informações claras acerca da possibilidade de não fornecer o consentimento, bem como, esclarecimentos sobre as consequências decorrentes dessa negativa, de forma expressa e inequívoca. O titular pode também revogar, a qualquer tempo e por procedimento gratuito e facilitado, consentimento que tenha fornecido anteriormente, sem necessidade de cumprir qualquer condição para tanto. Esta revogação produz seus efeitos somente a partir do momento em que for efetivada, não incidindo, portanto, sobre o tratamento dos dados efetuado com fundamento no consentimento até então existente.

Além dos direitos, o capítulo III trata dos procedimentos a serem seguidos para que estes possam ser exercidos. Os parágrafos 1º e 8º do artigo 18 tratam do direito do titular em formalizar, quando e se lhe convier, reclamações contra o controlador perante a Autoridade Nacional de Proteção de Dados (ANPD) e/ou perante os organismos de defesa do consumidor sendo que os meios e formas adequados para isso ainda deverão ser regulamentados pela ANPD. Poderá, ainda, recorrer ao poder judiciário em ações individuais ou coletivas para defender seus direitos e interesses, conforme disposto na legislação pertinente.

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

DOS DIREITOS DO TITULAR

Andréia da Costa Pereira dos Santos

57

Mais um direito do titular é o de opor-se ao tratamento de seus dados pessoais sempre que constatar o descumprimento de disposições da LGPD, caso este tratamento seja realizado com fundamento em uma das hipóteses de dispensa do consentimento previstas na lei como, por exemplo, no artigo 7º § 4º em que o consentimento é dispensado na situação em que o próprio usuário tenha tornado públicos  seus dados pessoais. O §3º do artigo 18, por sua vez, estabelece que somente o próprio titular de dados ou seu representante legalmente constituído poderão efetuar requisições ao agente de tratamento em relação aos direitos previstos neste artigo enquanto que o §4º impõe ao controlador a obrigação de responder ao titular dos dados caso não seja possível cumprir de imediato a providência solicitada por meio do requerimento especificado no §3º, devendo fornecer as razões que impedem o atendimento da pretensão ou comunicar que não é o controlador e, caso tenha conhecimento, indicar quem é o real agente de tratamento. O § 5º estabelece a gratuidade como regra para o exercício dos direitos dos titulares. Em relação aos prazos de atendimento, no entanto, exceto em relação ao Poder Público, as regras relacionadas aos prazos de atendimento pelo setor privado ainda precisam ser detalhadas e regulamentadas pela ANPD.

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

DOS DIREITOS DO TITULAR

Andréia da Costa Pereira dos Santos

58

O § 6º  determina que caso o controlador tenha compartilhado dados pessoais para os quais o titular tenha requerido correção, eliminação, anonimização ou bloqueio, deverá informar de maneira imediata os demais agentes envolvidos no tratamento dos dados para que estes repitam idêntico procedimento. E finalmente, o § 7º preconiza que não haverá obrigação do controlador em efetuar a portabilidade solicitada pelo titular caso os dados pessoais tenham sido anonimizados de forma irreversível. E, com isso, avançamos para o artigo 19 o qual estipula que o titular poderá escolher receber as informações relativas à confirmação de existência ou de acesso a seus dados por meio eletrônico ou sob a forma impressa. Além disso, o agente de tratamento deverá disponibilizar as informações de forma imediata se em formato simplificado ou no prazo de até 15 (quinze) dias, contados da data do requerimento do titular se em formato completo, contemplando declaração clara e completa com indicação quanto à origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento. Quando o tratamento de dados tiver fundamento no consentimento ou em contrato, o titular poderá solicitar cópia eletrônica integral de seus dados pessoais em formato que permita e facilite sua transferência, observados os segredos comercial e industrial, nos termos de regulamentação da ANPD.

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

DOS DIREITOS DO TITULAR

Andréia da Costa Pereira dos Santos

59

E chegamos ao artigo 20, o mais polêmico deste capítulo, que trata da possibilidade do titular dos dados requisitar ao controlador explicações e até mesmo revisão de decisões tomadas unicamente com base no tratamento automatizado que possam potencialmente afetar seus interesses, especialmente decorrentes da construção do seu perfil pessoal, profissional, de consumo, de crédito ou os aspectos de sua personalidade. Esse tipo de decisão é muito comum atualmente, especialmente em razão do avanço na utilização de métodos e recursos tecnológicos tais como inteligência artificial, analytics, big data, etc que auxiliam as empresas na análise de grandes volumes de dados que ocorrem, por exemplo, em processos de seleção, de concessão de crédito, etc. A revisão das decisões poderá ser efetuada de forma humana ou automatizada, como melhor convier ao Controlador, desde que as informações fornecidas de fato deixem claro ao titular os critérios e procedimentos utilizados para a formação da decisão automatizada. Caso o agente de tratamento não disponibilize tais informações alegando de forma genérica observância do segredo comercial e industrial o titular poderá acionar a ANPD que, por sua vez, poderá realizar auditoria para verificação de eventuais aspectos discriminatórios contra o titular..

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

DOS DIREITOS DO TITULAR

Andréia da Costa Pereira dos Santos

60

O artigo 21 determina que os dados pessoais decorrentes de direitos regularmente exercidos pelo titular não poderão ser utilizados de forma a prejudicá-lo. Seria o caso, por exemplo, da utilização de informações anteriores de candidatos em processo de seleção relacionadas a existência de ações trabalhistas contra ex- empregadores, resultando na eliminação do titular do referido processo. Algo importante a salientar é que nem todas as requisições do titular serão atendidas, havendo possibilidade de restrições e de exceções de caráter legal, especialmente quando venha a existir preponderância de interesses que se sobreponham à vontade do titular como, por exemplo, na hipótese em que o controlador não possa atender a requisição de eliminação dos dados de funcionário recém demitido em razão da necessidade de manter referida documentação pelos prazos estabelecidos em lei para cada tipo de documento, em cumprimento à obrigação legal. De qualquer forma, o agente de tratamento sempre deverá obrigatoriamente avaliar a solicitação do titular no sentido de confirmar se poderá ou não ser atendida e, em ambas as hipóteses, deverá manter o titular devidamente informado de acordo com as especificações estabelecidas pela própria lei.

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

DOS DIREITOS DO TITULAR

Andréia da Costa Pereira dos Santos

61

CONCLUSÃO Uma vez compreendidos os direitos dos titulares, fica para as organizações o desafio de enxergar a necessidade de adequação às determinações da LGPD, não apenas como um ônus mas sim como uma oportunidade estratégica de agregar valor ao seu negócio, priorizando a privacidade e proteção dos dados de clientes que cada vez mais serão fiéis àquelas empresas que demonstrarem preocupação genuína em relação a este tema, agindo com ética e transparência e alcançando assim ampla vantagem competitiva frente aos concorrentes que não adotarem essa postura a qual é absolutamente essencial em uma sociedade movida a dados.

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

DOS DIREITOS DO TITULAR

Andréia da Costa Pereira dos Santos

62

REFERÊNCIAS COTS, Márcio; OLIVEIRA, Ricardo. Lei Geral de Proteção de Dados Pessoais comentada. 2. ed. rev., atual. e ampl. São Paulo: Thomson Reuters Brasil, 2019. 247 p.   MALDONADO, Viviane Nóbrega; BLUM, Renato Opice (coord.) et al. LGPD: Lei Geral de Proteção de Dados comentada. 1. ed. São Paulo: Thomson Reuters Brasil, 2019. 411 pp.   PINHEIRO, Patrícia Peck. Proteção de Dados Pessoais: comentários à Lei n. 13.709/2018 (LGPD). 1. ed. São Paulo: Saraiva, 2018. 115 pp.   PENSANDO O DIREITO – DIREITOS DO TITULAR . Disponível em: . Acesso em: 07 dez. 2019.

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

DOS DIREITOS DO TITULAR

Andréia da Costa Pereira dos Santos

63

DO TRATAMENTO DE DADOS PESSOAIS PELO PODER PÚBLICO Jorge Alves Dias¹

O que se espera do Poder Público com a LGPD? O estudo do tratamento de dados pessoais pelo Poder Público não se limita aos artigos do capítulo IV da Lei Geral de Proteção de Dados Pessoais – LGPD (Lei nº 13.709/2018), quer porque a LGPD também disciplina o papel do Estado nos demais capítulos, quer porque outros diplomas legais anteriores já tratavam da matéria, mesmo que de maneira esparsa e incipiente, a exemplo da Lei de Acesso à Informação – LAI, Lei nº 12.527/2011.

Evolução histórica No mundo inteiro, as Administrações Públicas são as maiores controladoras de dados pessoais, seja de seus cidadãos, seja dos estrangeiros em seu território. Pode-se afirmar que, no Brasil, com mais de 210 milhões de habitantes, o Poder Público é, sem dúvida, o maior detentor de dados pessoais. Nos anos 70, o controle de dados pessoais pelo Estado gerou inquietação muito grande na Europa. COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

¹ Jorge é Advogado, Especialista em Direito Público, Especialista em Qualidade e Produtividade e Spécialiste en “Management des projets et gestion axée sur les résultats” École nationale d'administration - l'ENA Paris – Françae.

64

Em março de 1974[2], o jornal Le Monde publicou artigo intitulado "Safari ou la chasse aux Français"[3], revelando que, na época, o governo francês desenvolvia o Projeto SAFARI (Système automatisé pour les fichiers administratifs et le répertoire des individus) para realizar a interconexão dos arquivos da previdência social, do tesouro e da polícia. Os franceses, preocupados em preservar suas liberdades individuais, opuseram forte resistência ao projeto, o que levou o governo não somente a desistir do projeto, mas também a criar a “Commission Nationale de l'Informatique et des Libertés – CNIL”, hoje, a autoridade nacional para fins de “Règlement général sur la protection des données – RGPD”. O que é preocupante, hoje em dia, não é mais o volume de dados sob controle do Estado, mas os casos de vazamento de dados pessoais no setor público, como têm acontecido ultimamente.

[2] DESGENS-PASANAU, Guillaume. “Protection des données personnelles: le nouveau droit”. Conservatoire national des arts et métiers. FRANCE UNIVERSITÉ NUMÉRIQUE. 2019. Fonte: https://www.fun-mooc.fr/courses/coursev1:CNAM+01032+session02/about. Acesso em 01/12/2019. [3] "Safari ou la chasse aux Français". (Safari ou caça aos franceses, em tradução livre). Fonte: https://www.cnil.fr/sites/default/files/atoms/files/le_monde_0.pdf e https://www.senat.fr/evenement/archives/D45/context.html. Acesso em 06/12/2019. COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

DO TRATAMENTO DE DADOS PESSOAIS PELO PODER PÚBLICO

Jorge Alves Dias

65

Notícia de 29/10/2019[4] divulgou que Cartórios de São Paulo deixaram expostos na internet quase 1 milhão de arquivos contendo dados pessoais durante pelo menos dois meses. Ainda em outubro, o site techmundo.com.br[5] publicou que “falha no sistema do Departamento Estadual de Trânsito (Detran) do Rio Grande do Norte possibilitou o vazamento dos dados de 70 milhões de brasileiros que possuem a Carteira Nacional de Habilitação (CNH)”. Em Nota oficial, o DETRAN-RN[6] comunicou, em 09/10/2019, que falha já estaria sanada, mas admitiu que dados de usuários teriam sido, indevidamente, acessados. No Brasil, antes da LGPD, a legislação era setorizada e fragmentada, mas já havia preocupação quanto ao equilíbrio entre o sigilo das informações pessoais pelo governo e o acesso da sociedade a essas informações.

[4] Falha de cartórios expõe dados de ao menos 1 milhão de pais, mães e filhos ... - Veja mais em https://noticias.uol.com.br/cotidiano/ultimasnoticias/2019/10/29/falha-de-cartorios-expoe-dados-de-ao-menos-1milhao-de-pais-maes-e-filhos.htm?cmpid=copiaecola. Acesso em 01/12/2019. [5] Falha no Detran vaza dados de 70 milhões de brasileiros com CNH https://www.tecmundo.com.br/seguranca/146780-falha-detran-vazadados-70-milhoes-brasileiros-cnh.htm. Acesso em 01/12/2019. [6] Departamento Estadual de Trânsito RN – Fonte: http://www.detran.rn.gov.br/Conteudo.asp? TRAN=ITEM&TARG=214521&ACT=&PAGE=&PARM=&LBL=NOT%CDCIA. Acesso em 01/12/2019 COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

DO TRATAMENTO DE DADOS PESSOAIS PELO PODER PÚBLICO

Jorge Alves Dias

66

De acordo com Marcos Gerhardt Lindenmayer[7], quando o Estado intervém junto ao cidadão, buscando informações, deve sempre existir uma garantia de sigilo, exemplificando com o art. 198 do Código Tributário Nacional e o art. 1º, p.u. da Lei nº 5.534/68 (Obrigatoriedade de prestação de informações estatísticas - IBGE). Em 2011, a LAI regulamentou o tratamento de informações pessoais no âmbito da Administração Pública, ao estabelecer quem são os titulares, quem pode ter acesso a essas informações, quais são as salvaguardas, e, ainda, qual o prazo de guarda dessas informações. É com base nos ditames da LAI que são divulgados “cargos/nomes/salários” dos funcionários públicos, os quais, por serem pagos por recursos públicos, têm mitigadas sua intimidade e vida privada pela aplicação do princípio da transparência ativa. Entretanto, a LAI protege apenas as informações pessoais referentes à intimidade, à vida privada, à honra e à imagem, perante o Poder Público, de sorte que os controles de fluxo da LAI não se mostram suficientes para a garantia dos direitos da personalidade do cidadão perante todos os controladores de dados pessoais, sejam públicos ou privados.

[7] Marcos Gehardt Lindenmayer, Auditor Federal da ControladoriaGeral da União – CGU, em palestra realizada em 18/09/19 no “10º Seminário de Proteção à Privacidade e ao Dados Pessoais”, promovido pela CGI.br e pelo NIC.br em São Paulo. Fonte: https://www.youtube.com/watch?v=7mKGoeJ9fv4. Acesso em 06/12/2019. COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

DO TRATAMENTO DE DADOS PESSOAIS PELO PODER PÚBLICO

Jorge Alves Dias

67

O Poder Público e a Lei Geral de Proteção de Dados Pessoais Como destacado por Arthur Antônio Tavares Moreira Barbosa[8], os debates sobre a proteção de dados pessoais se iniciaram em 2010 e resultaram na LGPD que, nas relações de consumo, deve observar o microssistema do Código de Defesa do Consumidor, ao qual também está submetido o Poder Público, quando na condição de prestador de serviços públicos[9]. Maria Fernanda Balsalobre Pinto[10] aduz que deve existir um equilíbrio entre o uso da informação por meio das novas tecnologias e a privacidade do indivíduo, não apenas quanto ao direito de o cidadão ser deixado só e de não sofrer interferências externas (liberdade negativa), mas também quanto ao direito à proteção de seus dados pessoais (liberdade positiva) permitindo o controle sobre seus próprios dados, pela chamada autodeterminação informacional. [8] Arthur Antônio Tavares Moreira Barbosa, Promotor de Justiça do MP/SP, em palestra ministrada no seminário “Lei Geral de Proteção de Dados e o setor público”, promovido pelo TCE/SP em 25/10/2019 em São Paulo. Fonte: https://www.youtube.com/watch?v=d8Nj_KJ-0uI. Acesso em 06/12/2019. [9] Aplicabilidade do CDC aos serviços públicos. Fonte: https://jus.com.br/artigos/44688/aplicabilidade-do-cdc-aos-servicospublicos. Acesso em 06/12/2019. [10] Maria Fernanda Balsalobre Pinto, Promotora de Justiça do MP/SP, em palestra ministrada no seminário “Lei Geral de Proteção de Dados e o setor público”, promovido pelo TCE/SP no dia 25/10/2019 na cidade de São Paulo. Fonte: https://www.youtube.com/watch?v=d8Nj_KJ-0uI. Acesso em 06/12/2019. COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

DO TRATAMENTO DE DADOS PESSOAIS PELO PODER PÚBLICO

Jorge Alves Dias

68

A LGPD considera Poder Público todos os órgãos públicos integrantes da Administração Pública direta, em seu sentido subjetivo como nos ensina Maria Sylvia Zanella Di Pietro[11], dos três poderes: Executivo, Legislativo, incluindo as Cortes de Contas, e Judiciário, bem como do Ministério Público, abrangendo as quatro pessoas jurídicas políticas: a União, os Estados e o Distrito Federal, bem como os Municípios. Note-se que a LGPD confere aos serviços notariais e de registro, exercidos em caráter privado por delegação do Poder Público nos termos do artigo 236 da CF/88, o mesmo tratamento dispensado às pessoas jurídicas de direito público. Por outro lado, a LGPD dispensa às empresas públicas e às sociedades de economia mista, pessoas jurídicas de direito privado, nos termos do decreto-lei nº 200/67, integrantes da Administração Pública Indireta[12], que atuam em regime de concorrência, sujeitas ao disposto no artigo 173 da CF/88, o mesmo tratamento dado às pessoas jurídicas de direito privado particulares. Além dos princípios elencados no artigo 6º da LGPD, o tratamento de dados pessoais pelas pessoas jurídicas de direito público deve atender às suas finalidades públicas na persecução do interesse público, com o objetivo de executar suas competências legais ou de cumprir as atribuições legais do serviço público.

[11] DI PIETRO, Maria Sylvia Zanella. Direito Administrativo. 14ª edição. São Paulo: Atlas, 2002. P. 61. [12] DI PIETRO, Maria Sylvia Zanella. op. cit. P. 61. COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

DO TRATAMENTO DE DADOS PESSOAIS PELO PODER PÚBLICO

Jorge Alves Dias

69

Adicionalmente, do Poder Público também é exigido que sejam informadas as hipóteses em que, no exercício de suas competências, realizam o tratamento de dados pessoais, que sejam fornecidas informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos. A Autoridade Nacional de Proteção de Dados - ANPD poderá dispor sobre as formas de publicidade dessas operações de tratamento. Os prazos e procedimentos para exercício dos direitos do titular, perante o Poder Público, obedecem à Lei nº 9.507/97 (Lei do Habeas Data), à Lei nº 9.784/99 (Lei Geral do Processo Administrativo) e à Lei nº 12.527/2011 (Lei de Acesso à Informação). O Poder Público deve usar formato interoperável[13] e estruturado para o compartilhado de dados pessoais, com vistas à execução de políticas e serviços públicos, à descentralização da atividade pública e à disseminação e ao acesso das informações pelo público em geral.

[13] Interoperabilidade é a capacidade de um sistema (informatizado ou não) de se comunicar de forma transparente (ou o mais próximo disso) com outro sistema (semelhante ou não). Para um sistema ser considerado interoperável, é muito importante que ele trabalhe com padrões abertos ou ontologias. Seja um sistema de portal, seja um sistema educacional ou ainda um sistema de comércio eletrônico, ou ecommerce, hoje em dia se caminha cada vez mais para a criação de padrões para sistemas. Fonte: https://pt.wikipedia.org/wiki/Interoperabilidade. Acesso em 06/12/2019. COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

DO TRATAMENTO DE DADOS PESSOAIS PELO PODER PÚBLICO

Jorge Alves Dias

70

A LGPD também dispõe que o uso compartilhado de dados pessoais pelo Poder Público deve atender a finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas, respeitados os princípios de proteção de dados pessoais, sendo vedada a transferência a entidades privadas de dados pessoais de bases de dados a que o Poder Público tenha acesso. No entanto, essa transferência é possível em casos de execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado, observado o disposto na LAI. Também é permitida, se os dados forem acessíveis publicamente, se houver previsão legal ou se a transferência for respaldada em contratos, convênios ou instrumentos congêneres. Outra hipótese de permissão é a transferência dos dados para fins exclusivos de prevenção de fraudes e irregularidades, ou para proteção e resguardo da segurança e da integridade do titular dos dados, desde que vedado o tratamento para outras finalidades. Nessas quatro hipóteses, a comunicação ou o compartilhamento de dados entre pessoa jurídica de direito público e pessoa jurídica de direito privado não dependerão de consentimento do titular, nem de informação à ANPD. Quando houver uso compartilhado ou comunicação de dados pessoais de pessoa jurídica de direito público para pessoa jurídica de direito privado, a ANPD será informada e o

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

DO TRATAMENTO DE DADOS PESSOAIS PELO PODER PÚBLICO

Jorge Alves Dias

71

titular deverá consentir, exceto nas exceções do artigo 7º da LGPD. Entretanto, se for dada publicidade nos termos do inciso I do caput do artigo 23 da LGPD o uso compartilhado de dados será possível. O tratamento de dados pessoais, para fins de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais, atividades próprias do Poder Público, será disciplinado por legislação específica, a qual estabelecerá medidas proporcionais e estritamente necessárias ao atendimento do interesse público, com observância do devido processo legal. Entretanto, os princípios gerais de proteção e os direitos dos titulares firmados pela LGPD deverão ser observados por essa futura legislação específica. Observe-se, também, que a LGPD dispõe que o tratamento de dados pessoais nessas hipóteses é, em princípio, expressamente vedado a pessoas jurídicas de direito privado. No entanto, prevê a LGPD que é possível, excepcionalmente, o tratamento de parcela dos dados pessoais de bancos de dados por pessoa jurídica de direito privado, desde que esta possua capital integralmente constituído pelo poder público e que esse tratamento seja realizado em procedimentos sob tutela de pessoa jurídica de direito público. Situação excepcional essa em que a ANPD, especificamente informada, deverá solicitar aos responsáveis pelo tratamento Relatórios de Impacto à proteção de dados pessoais.

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

DO TRATAMENTO DE DADOS PESSOAIS PELO PODER PÚBLICO

Jorge Alves Dias

72

É dispensável o consentimento do titular para tratamento de dados pessoais sensíveis nos processos de identificação e autenticação[14] de cadastro em sistemas eletrônicos para prevenção à fraude e à segurança do titular, a exemplo da identificação de vítimas em desastres, bem como de localização de pessoas perdidas. Da mesma forma, é possível a identificação de pessoas, por meio do reconhecimento facial, em espaços controlados de médio e grande porte, tais como estações de metrô, estádios esportivos e casas de espetáculos, pois o Estado estará atuando, nos termos da LGPD, na hipótese legal de tratamento de dados pessoais sensíveis para prevenção à fraude e a segurança dos titulares.

[14] De acordo com Bárbara Prado Simão, advogada do IDEC,   em 19/09/19 no “10º Seminário de Proteção à Privacidade e ao Dados Pessoais”, promovido pela CGI.br e pelo NIC.br em São Paulo, detecção é o reconhecimento de um ser humano, sem autenticá-lo ou identificá-lo. Autenticação é o procedimento que permite saber se uma pessoa é, realmente, quem ela afirma que é, (Pareamento 1:1). Ou seja, pela comparação da imagem de uma pessoa a uma foto de cadastro. A autenticação pode substituir a utilização de senha ou login de acesso. Já a identificação, é um procedimento que permite, (Pareamento 1:muitos), a partir da comparação da imagem de uma pessoa com fotos de um banco de dados saber quem é essa pessoa. Fonte: https://www.youtube.com/watch?v=Eth-YELgn7Q. Acesso em 05/12/2019. COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

DO TRATAMENTO DE DADOS PESSOAIS PELO PODER PÚBLICO

Jorge Alves Dias

73

Porém, o controle de fluxo de pessoas pelo reconhecimento facial em espaços públicos, a exemplo do que já existe na China[15], que pode, em tese, ser visto como   solução para a segurança pública, vem sendo, no mundo todo, questionado, pois além de a tecnologia de tratamento de dados biométricos pelo uso de inteligência artificial não ser totalmente confiável, os bancos de dados ainda possuem baixo grau de diversidade o que pode levar, especialmente em decisões automatizadas, a erros de identificação como vieses discriminatórios, segundo Rafael Mafei Rabelo Queiroz[16].

Por esses motivos, algumas cidades no exterior, a exemplo de São Francisco e Oakland[17], nos EUA, proibiram, por meio de legislação  local, a utilização desse tipo de tecnologia, porque o chamado reconhecimento facial ainda não possui desempenho satisfatório em todas as situações, o que pode

[15] China utiliza reconhecimento facial para conseguir vigilância total no país. Fonte: https://revistasegurancaeletronica.com.br/china-utilizareconhecimento-facial-para-conseguir-vigilancia-total-no-pais/ Acesso em 05/12/2019. [16] Rafael Mafei Rabelo Queiroz, professor da Faculdade de Direito da USP, em palestra realizada em 19/09/19 no “10º Seminário de Proteção à Privacidade e ao Dados Pessoais”, promovido pela CGI.br e pelo NIC.br em São Paulo. Fonte: https://www.youtube.com/watch?v=Eth-YELgn7Q. Acesso em 06/12/2019. [17] São Francisco proíbe a polícia de usar reconhecimento facial. Fonte: https://g1.globo.com/pop-arte/noticia/2019/05/16/san-francisco-proibe-apolicia-de-usarreconhecimento-facial.ghtml . Acesso em 05/12/2019; Onde o reconhecimento facial foi banido nos EUA. E a situação no Brasil. Fonte: https://www.nexojornal.com.br/expresso/2019/07/26/Onde-oreconhecimento-facial-foi-banido-nos-EUA.-E-a-situa%C3%A7%C3%A3ono-Brasil. Acesso em 05/12/2019. COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

DO TRATAMENTO DE DADOS PESSOAIS PELO PODER PÚBLICO

Jorge Alves Dias

74

causar danos aos direitos individuais dos cidadãos, uma vez que, com a tecnologia atual, não se consegue identificar, com uma margem de erro razoável, as pessoas, eis que ocorrem muitos “falsos positivos”, sem esquecer de “interferências”, como, por exemplo, uso de maquiagem, chapéu, óculos ou mudança do penteado. Oportuno ressaltar que, em situações como as do reconhecimento facial, a ANPD, no exercício de sua dimensão regulatória, poderá solicitar, a qualquer momento, às entidades do Poder Público que realizam operações de tratamento de dados pessoais, informações sobre o âmbito, a natureza dos dados e outros detalhes acerca do tratamento realizado, podendo emitir parecer técnico complementar para garantir o cumprimento da LGPD. É permitido ao Poder Público realizar a transferência internacional de dados, quando necessária à cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução. Ela também é possível se houver acordos de cooperação internacional. Outra hipótese legal é a execução de política pública ou atribuição legal do serviço público, situações nas quais o Poder Público deverá dar publicidade em veículo de fácil acesso, preferencialmente em sítios eletrônicos. Nos eventuais casos de infração à LGPD por órgãos públicos, a ANPD poderá enviar informes com medidas cabíveis para fazer cessar a violação, sem prejuízo da prerrogativa de a ANPD poder solicitar a agentes do Poder Público a publicação de relatórios de impacto à proteção de dados

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

DO TRATAMENTO DE DADOS PESSOAIS PELO PODER PÚBLICO

Jorge Alves Dias

75

pessoais e sugerir a adoção de padrões e de boas práticas para os tratamentos de dados pessoais. São aplicáveis aos órgãos públicos as seguintes sanções: advertência, publicização da infração, bloqueio e eliminação de dados pessoais, sem prejuízo do disposto na Lei nº 8.112/90 (Estatuto do Servidor Público Federal), na Lei nº 8.429/92 (Lei de Improbidade Administrativa), e na LAI.

CONCLUSÃO Após essas considerações e comentários acerca da LGPD e da legislação correlata, esperamos ter contribuído para demonstrar quais obrigações serão impostas ao Poder Público na proteção dos dados pessoais dos cidadãos brasileiros e dos estrangeiros que se encontrem em território nacional.

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

DO TRATAMENTO DE DADOS PESSOAIS PELO PODER PÚBLICO

Jorge Alves Dias

76

REFERÊNCIAS DESGENS-PASANAU, Guillaume. Protection des données personnelles: le nouveau droit. Conservatoire national des arts et métiers. FRANCE UNIVERSITÉ NUMÉRIQUE. 2019. Fonte: https://www.fun-mooc.fr/courses/coursev1:CNAM+01032+session02/about. Acesso em 01/12/2019.   Safari ou la chasse aux Français. (Safari ou caça aos franceses, em tradução livre). Fontes: https://www.cnil.fr/sites/default/files/atoms/files/le_mon de_0.pdf e https://www.senat.fr/evenement/archives/D45/context.ht ml. Acesso em 06/12/2019.   Falha de cartórios expõe dados de ao menos 1 milhão de pais, mães e filhos... Fonte: https://noticias.uol.com.br/cotidiano/ultimasnoticias/2019/10/29/falha-de-cartorios-expoe-dados-deao-menos-1-milhao-de-pais-maes-e-filhos.htm? cmpid=copiaecola. Acesso em 01/12/2019   Falha no Detran vaza dados de 70 milhões de brasileiros com CNH. Fonte: https://www.tecmundo.com.br/seguranca/146780falha-detran-vaza-dados-70-milhoes-brasileiros-cnh.htm  Acesso em 01/12/2019. COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

DO TRATAMENTO DE DADOS PESSOAIS PELO PODER PÚBLICO

Jorge Alves Dias

77

Departamento Estadual de Trânsito RN. Fonte: http://www.detran.rn.gov.br/Conteudo.asp? TRAN=ITEM&TARG=214521&ACT=&PAGE=&PARM=&LB L=NOT%CDCIA.  Acesso em 01/12/2019 LINDENMAYER, Marcos Gehardt. Em palestra realizada em 18/09/19 no “10º Seminário de Proteção à Privacidade e ao Dados Pessoais”, promovido pela CGI.br e pelo NIC.br em São Paulo. Fonte: https://www.youtube.com/watch?v=7mKGoeJ9fv4. Acesso em 06/12/2019.   BARBOSA, Arthur Antônio Tavares Moreira. Em palestra ministrada no seminário “Lei Geral de Proteção de Dados e o setor público”, promovido pelo TCE/SP em 25/10/2019 em São Paulo. Fonte: https://www.youtube.com/watch?v=d8Nj_KJ-0uI. Acesso em 06/12/2019.   Aplicabilidade do CDC aos serviços públicos. Fonte: https://jus.com.br/artigos/44688/aplicabilidade-do-cdcaos-servicos-publicos. Acesso em 06/12/2019. PINTO, Maria Fernanda Balsalobre. Em palestra ministrada no seminário “Lei Geral de Proteção de Dados e o setor público”, promovido pelo TCE/SP no dia 25/10/2019 na cidade de São Paulo. Fonte: https://www.youtube.com/watch?v=d8Nj_KJ-0uI. Acesso em 06/12/2019. COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

DO TRATAMENTO DE DADOS PESSOAIS PELO PODER PÚBLICO

Jorge Alves Dias

78

DI PIETRO, Maria Sylvia Zanella. DIREITO ADMINISTRATIVO. 14ª edição. São Paulo: Atlas, 2002.   Wikipedia. Fonte: https://pt.wikipedia.org/wiki/Interoperabilidade. Acesso em 06/12/2019.   SIMÃO, Bárbara Prado, Em palestra de 19/09/19 no “10º Seminário de Proteção à Privacidade e ao Dados Pessoais”, promovido pela CGI.br e pelo NIC.br em São Paulo. Fonte: https://www.youtube.com/watch?v=Eth-YELgn7Q. Acesso em 05/12/2019.   China utiliza reconhecimento facial para conseguir vigilância total no país. Fonte: https://revistasegurancaeletronica.com.br/china-utilizareconhecimento-facial-para-conseguir-vigilancia-totalno-pais/. Acesso em 05/12/2019 QUEIROZ, Rafael Mafei Rabel. Em palestra realizada em 19/09/19 no “10º Seminário de Proteção à Privacidade e ao Dados Pessoais”, promovido pela CGI.br e pelo NIC.br em São Paulo. Fonte: https://www.youtube.com/watch?v=Eth-YELgn7Q. Acesso em 06/12/2019.

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

DO TRATAMENTO DE DADOS PESSOAIS PELO PODER PÚBLICO

Jorge Alves Dias

79

San Francisco proíbe a polícia de usar reconhecimento facial. Fonte: https://g1.globo.com/poparte/noticia/2019/05/16/san-francisco-proibe-a-policiade-usarreconhecimento-facial.ghtml. Acesso em 05/12/2019   Onde o reconhecimento facial foi banido nos EUA. E a situação no Brasil. Fonte: https://www.nexojornal.com.br/expresso/2019/07/26/Ond e-o-reconhecimento-facial-foi-banido-nos-EUA.-E-asitua%C3%A7%C3%A3o-no-Brasil Acesso em 05/12/2019      

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

DO TRATAMENTO DE DADOS PESSOAIS PELO PODER PÚBLICO

Jorge Alves Dias

80

DA TRANSFERÊNCIA INTERNACIONAL DE DADOS Viviane Corrocher Malanga¹

A tecnologia possibilita transferência internacional de dados em frações de segundos, rompendo limites geográficos. Graças à tecnologia, hoje podemos estabelecer contato com todos os continentes do planeta em frações de segundos. Em consequência, informações são trocadas entre países com facilidade, ou seja, não há limites geográficos para transferência de dados. O artigo 5° inciso XV da LGPD considera transferência internacional de dados a realizada para país estrangeiro ou organismo internacional do qual o país seja membro. Esse conceito foi estabelecido para evitar “Paraísos de Dados Pessoais”. Quando estabelecemos comunicação com sites (domínios) de outros países está clara a transferência internacional de dados. Por exemplo, uma organização alemã que possui filial no Brasil. Há transferência internacional de dados quando os dados de funcionários do Brasil são enviados para a matriz e vice-versa.

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

¹ Viviane é Advogada atuante na área de Direito Digital, graduada em Análise de Sistemas,  Pós graduada em Direito Digital e Pós Graduada em Administração de empresas. Vice-Presidente da Comissão de Direito Digital, Tecnologia e Inteligência Artificial da OAB/SP, subsecção Jabaquara-Saúde.

81

Porém há situações que a transferência ocorre e não é evidente: Uma pessoa que está fisicamente na Avenida Paulista, em São Paulo Brasil, solicita um táxi, através de aplicativo para ir até o bairro da Vila Mariana. Aparentemente tudo acontece no Brasil porém o aplicativo que recebe os dados pessoais do cliente e aciona o taxi está hospedado em um servidor na Europa, logo ocorreu transferência internacional de dados. A LGPD visa garantir a proteção e a transparência no fluxo internacional de dados, assegurando o mesmo nível de proteção entre o Brasil e países destino. Ocorre que nem todos os países possuem leis sobre proteção de dados e, mesmo quando as possui, o nível de proteção pode variar bastante. O mapa a seguir relacionado, apresenta um panorama atual referente às Leis e Regulamentos de Privacidade e Proteção de Dados em vários países.[2]

[2] Fonte: 01/12/2019.

https://www.dlapiperdataprotection.com/.

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

DA TRANSFERÊNCIA INTERNACIONAL DE DADOS

Viviane Corrocher Malanga

Acesso

em

82

Esse mapa começou a ser elaborado no ano de 2012 e é atualizado anualmente por um grupo de consultores denominado Data Protection and Privacy Group. Os dados relacionados correspondem ao ano de 2018. No caso do Brasil, por exemplo, o mapa indica que a legislação referente a proteção de dados é Moderada (em amarelo na legenda). No mapa referente ao ano de 2017, o Brasil estava classificado como limitado (cor verde da legenda classificatória). O motivo do aprimoramento da classificação do Brasil de um ano para o outro foi a promulgação da Lei Geral de Proteção de dados (LGPD). Em virtude dos diferentes níveis de proteção de dados entre os países, como garantir o mesmo nível de proteção entre o país origem e destino? É necessário então criar uma estrutura para possibilitar essa garantia. A transferência Internacional de dados trata exatamente dessa questão.

A Lei Geral de Proteção de Dados, em seu capítulo V, aborda o tema Transferência Internacional de dados estabelecendo casos em que é permitida a transferência internacional de dados (artigo 33).

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

DA TRANSFERÊNCIA INTERNACIONAL DE DADOS

Viviane Corrocher Malanga

83

A transferência internacional de dados pessoais somente será permitida nas hipóteses do artigo 33 da LGPD:

Para países ou organismos internacionais com GRAU DE PROTEÇÃO de dados pessoais ADEQUADO ao previsto na LGPD; Quando o CONTROLADOR oferecer e comprovar GARANTIAS DE CUMPRIMENTO DOS PRINCÍPIOS e DIREITOS DO TITULAR e do regime de proteção de dados previstos na LGPD; Quando necessária para COOPERAÇÃO JURÍDICA INTERNACIONAL entre órgãos públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de direito internacional; Para a PROTEÇÃO DA VIDA da incolumidade física do titular ou de terceiro; Mediante autorização da ANPD Quando resultar em compromisso assumido em ACORDO DE COOPERAÇÃO INTERNACIONAL; Quando necessária para execução de POLÍTICA PÚBLICA ou atribuição legal do serviço público; Mediante CONSENTIMENTO ESPECÍFICO DO TITULAR; Para cumprimento de OBRIGAÇÃO regulatória pelo controlador;

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

DA TRANSFERÊNCIA INTERNACIONAL DE DADOS

Viviane Corrocher Malanga

LEGAL

ou

84

Para execução de CONTRATO ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados; Por exercício regular de direitos em PROCESSO JUDICIAL, ADMINISTRATIVO ou ARBITRAL.

A LGPD estabelece que o tema transferência internacional de dados será regulamentado pela ANPD.

CONCLUSÃO A tecnologia proporciona inovações e encurta distâncias.   Conforme descrito neste artigo, a transferência internacional de dados é um exemplo de inovação e rapidez na troca de informações entre países e organismos internacionais.   Com objetivo de garantir o mesmo nível de proteção de dados pessoais entre o Brasil e demais países, a LGPD definiu, como tema de seu capítulo V, a transferência internacional de dados, estabelecendo, que essa somente será permitida, em 9 hipóteses, relacionadas no artigo 33 da lei. Uma das hipóteses estabelece que a transferência é permitida entre países / organismos internacionais com grau de proteção adequado aos previstos na legislação brasileira. O nível de proteção de dados, mencionado no artigo 33, será definido pela Autoridade Nacional de Proteção de Dados

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

DA TRANSFERÊNCIA INTERNACIONAL DE DADOS

Viviane Corrocher Malanga

85

(ANPD), além de outros pontos como por exemplo o conteúdo de cláusulas-padrão contratuais, cláusulas específicas para determinada transferência, normas corporativas globais, certificados e códigos de conduta. A Transferência Internacional de dados é um tema de suma importância pois, promove segurança e equidade relacionada ao tratamento de dados entre países, e para sua adequada utilização, aguarda-se as respectivas definições da ANPD.

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

DA TRANSFERÊNCIA INTERNACIONAL DE DADOS

Viviane Corrocher Malanga

86

REFERÊNCIAS   IAPP Publication. European Data Protection – Law and Practice, 2018. MALANGA, Viviane Corrocher. O impacto dos projetos de lei de proteção de dados pessoais às empresas nacionais: aprofundando o papel do DPO (Data Protection Officer). São Paulo, 2017. Monografia em Especialização em Direito e Tecnologia da Informação. Escola Politécnica da Universidade de São Paulo. PECE – Programa de Educação Continuada em Engenharia. COTS, Márcio; OLIVEIRA, Ricardo. Lei Geral de Proteção de Dados comentada. 2. ed. rev., atual. e ampl. São Paulo: Thomson Reuters Brasil, 2019. 247 pp. MALDONADO, Viviane Nóbrega; BLUM, Renato Opice (coord.) et al. LGPD: Lei Geral de Proteção de Dados comentada. 1. ed. São Paulo: Thomson Reuters Brasil, 2019. 411 pp. PINHEIRO, Patrícia Peck. Proteção de Dados Pessoais: comentários à Lei n. 13.709/2018 (LGPD). 1. ed. São Paulo: Saraiva, 2018. 115 pp.

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

DA TRANSFERÊNCIA INTERNACIONAL DE DADOS

Viviane Corrocher Malanga

87

DOS AGENTES DE TRATAMENTO DE DADOS Jane Kaunert¹ e Cristina Hang²

Quando falamos em Proteção de Dados, inevitavelmente nos reportamos ao Direito à Privacidade e este, por sua vez, foi primeiramente definido na Havard Law Review num artigo publicado por Samuel Warren e Louis Brandeis, em dezembro de 1890, intitulado The Right to Privacy. A ameaça à intimidade não surgiu com a tecnologia, mas a quantidade de informação e a capacidade de estar conectado com o mundo evidenciam a necessidade da proteção dos dados pessoais coletados. A Constituição Federal de 1988 prevê a proteção da intimidade, como direito fundamental. A Lei Geral de Proteção de Dados – LGPD (Lei nº 13,709, de 14 de agosto de 2018 e as alterações da Lei nº 13.853/19), foi inspirada no Regulamento Geral Europeu para a Proteção de Dados – GDPR (Regulamento UE 2016/679) e estabelece novos controles para o uso de dados pelas empresas brasileiras, independentemente do seu porte, número de funcionários ou área de atuação. Sua regulamentação abrange qualquer tipo de operação de tratamento de dado pessoal, tanto no setor público como privado, armazenados em ambiente físico ou digital, desde que ocorra em território nacional. COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

¹ Jane é Advogada especialista em Dir. Digital e Tecnologia da Informação. Ex-executiva do Cons. de Ética do CONAR. Membra do FIESP e da Digital Law Academy. Membra da Comissão de Dir. Digital e Inovação da OAB/SP e de Dir. Digital e Inteligência Artificial do IASP /SP. ² Cristina é Avogada especialista em Dir. Digital e Tec. da Informação e Dir. Tributário. Procuradora aposentada do Estado de SP. Ex- juíza do Tribunal de Impostos e Taxas. Membra da Comissão de Direito Digital e Inovação da OAB/SP.

88

Por ser uma legislação principiológica e conceitual, é bastante abrangente. Sugere, portanto, para sua efetividade, atuação em quatro frentes no processo de transformação: “Pessoas”, por meio de programas de sensibilização capacitação de colaboradores e terceiros; “Jurídico”, na adequação e elaboração de contratos, políticas de segurança, de privacidade e de uso, assim como demais documentos que envolvam a privacidade de dados pessoais; “Tecnologia”, na implantação e adaptação de ferramentas digitais de segurança e privacidade (arquitetura de software desenhada considerando conceitos como: “Privacy by Design” e “Privacy by Default”, e “Processos”, por meio de revisão e criação de novos processos para assegurar o adequado percurso do ciclo dos dados. Logo, sua implementação requer, na prática, mais que uma apreciação legal, necessita de um trabalho multidisciplinar capaz de promover a indispensável mudança de paradigma frente ao uso dos dados no Brasil. Além do desenvolvimento econômico e tecnológico, o principal objetivo da LGPD é respeitar os direitos fundamentais das pessoas, protegendo a privacidade, intimidade e liberdade de expressão.

De acordo com o LGPD, serão considerados agentes de tratamento: o controlador e o operador.

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

DOS AGENTES DE TRATAMENTO DE DADOS

Jane Kaunert e Cristina Hang

89

É criada a figura do encarregado do tratamento de dados pessoais (Data Protection Officer – DPO) cuja atribuição é estabelecer comunicação com os titulares, controlador e Autoridade Nacional de Proteção de Dados (ANPD), prestando esclarecimentos, providências e orientações internas que favoreçam o aculturamento sobre proteção de dados. Não é pessoalmente responsável, em caso de violação do disposto da LGPD. O objetivo do presente artigo é elucidar o relevante papel a ser desempenhado pelos Agentes de Tratamento com a participação do Encarregado de Dados (DPO).

Agentes de Tratamento de Dados Pessoais As partes envolvidas no tratamento de dados pessoais são o controlador e o operador de dados, definidos e considerados, para efeitos do art. 5º, IX da LGPD, como agentes de tratamento de dados. O controlador e o operador são obrigados a manter registro das operações de tratamento que realizaram, apontando finalidade, tempo de processamento, prazo, segurança, sigilo e privacidade, consentimento dado, ou hipóteses de exclusão de consentimento. O art. 37 da LGPD estipula que esse registro será especialmente importante, quando o processamento se der pelo COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

DOS AGENTES DE TRATAMENTO DE DADOS

Jane Kaunert e Cristina Hang

90

pelo legítimo interesse do controlador – hipótese de dispensa de consentimento, art. 7º, IX. Vale ressaltar que as figuras do controlador e do operador podem ser representadas por entes distintos ou por um único representante, nos casos em que o operador é a própria empresa que detém os dados pessoais. Documentar e registrar as decisões do controlador e as ações realizadas pelo operador, bem como a transferência das operações e do cumprimento dos propósitos no processo de tratamento de dados, são medidas necessárias para ambos os agentes.

1. Controlador Controlador  é a “pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais”, conforme determina o art. 5º, VI da LGPD. É a pessoa, natural ou jurídica, que define quais as finalidades e os meios de tratamento de dados. Deste modo, recaem sobre ele deveres, sendo-lhe imputada a responsabilidade caso haja violação de algum deles. FIGUEIREDO[3] observa o fundamento da competência do controlador no GDPR: [3] FIGUEIREDO, Tomás Taipa Guedes de. Da Responsabilidade do Subcontratante no Âmbito do RGPD. Universidade Católica Portuguesa. P. 10. Fonte: https://repositorio.ucp.pt/handle/10400.14/28688 Acesso em 06/12/20219. COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

DOS AGENTES DE TRATAMENTO DE DADOS

Jane Kaunert e Cristina Hang

91

[...] sobre isto, o Grupo de Trabalho do Artigo 29º sobre a Proteção de Dados que o controlador pode resultar de três vias: de uma competência legal expressa; de uma competência tácita, no âmbito de uma relação contratual; ou de uma influência de fato.  Por isso, um efetivo controle material é imprescindível para o preenchimento do conceito, demonstrando a vertente dinâmica do mesmo.

As  decisões do controlador e toda sua atividade devem ser orientadas pela boa-fé, com suporte nas bases normativas que autorizam o tratamento dos dados pessoais atrelados aos princípios da finalidade que deu origem à coleta, que é legítima, específica e explícita; da  adequação; da necessidade, limitada ao mínimo necessário de dados para a realização de sua finalidade; da garantia do livre acesso do titular de consulta; da garantia da qualidade dos dados, sua exatidão, clareza, relevância e atualização; da garantia da transparência ao titular  de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial; da segurança na utilização de medidas técnicas e administrativas para proteger os dados pessoais (acessos não autorizados, incidentes, e da prática de atos ilícito); da prevenção, adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais; não discriminação, impossibilidade de realização do

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

DOS AGENTES DE TRATAMENTO DE DADOS

Jane Kaunert e Cristina Hang

92

tratamento para fins discriminatórios ilícitos ou abusivos; devendo ainda em razão responsabilização e prestação de contas: demonstrar a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas. A elaboração de um relatório de impacto de proteção dados pessoais, antes das operações com alto risco violação dos direitos dos titulares dos dados, em especial, tratamento de dados sensíveis, poderá ser requerida controlador pela autoridade nacional, como prevê a lei.

de de no do

A identificação de quem é o controlador de dados deve ser clara e disponível ao titular, com ampla divulgação. O controlador precisa respeitar os direitos do titular dos dados e garantir sua disponibilidade na prática, conforme determina os arts. 18 a 20, da LGPD.

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

DOS AGENTES DE TRATAMENTO DE DADOS

Jane Kaunert e Cristina Hang

93

Todas as disposições que condicionam a licitude do tratamento dos dados, têm como destinatário o controlador. Daqui se conclui que estamos perante um conceito puramente funcional, que visa à atribuição de responsabilidade.

2. Operador O operador é a “pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador”, de acordo com o art. 5º, VII da LGPD. É um mandatário do controlador. Dotado de autonomia jurídica e fática em relação ao controlador, procede ao tratamento dos dados pessoais por conta deste último. Segundo CORDEIRO[4], “o operador desempenha uma função fiduciária: está obrigado a atuar sempre no melhor interesse do beneficiário da relação – o responsável pelo tratamento.” A existência da figura do operador depende da decisão tomada pelo responsável pelo tratamento - o controlador -, que pode escolher entre realizar o tratamento dos dados no âmbito de sua organização ou delegar a totalidade ou parte das atividades de tratamento a uma organização externa.

[4] CORDEIRO, A. Barreto Menezes. Da Responsabilidade Civil Por Tratamento de Dados Pessoais. 2018. P.13. Fonte: https://blook.pt/publications/publication/2ae6399f13bb/. Acesso em 06/12/2019. COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

DOS AGENTES DE TRATAMENTO DE DADOS

Jane Kaunert e Cristina Hang

94

Consequentemente, as finalidades do tratamento não podem por ele serem definidas, limitando-o às funções de caráter mais técnico, como por exemplo, o armazenamento e a exclusão dos dados. Para cumprir as funções de tratamentos de dados pessoais referidas na LGPD, os operadores devem, especialmente, se aterem a:

processar apenas dados pessoais de acordo com as instruções documentadas do controlador; não processar dados adicionais para outros fins incompatíveis; subcontratar ou terceirizar serviços que envolvam acesso aos dados pessoais, apenas com a autorização prévia e por escrito dos controladores; adotar medidas de segurança proteger os dados pessoais;

adequadas

para

informar o controlador, imediatamente, sobre uma violação de dados;

O art. 39 da LGPD determina uma relação de hierarquia entre o controlador e o operador, atribuindo ao primeiro a auditoria dos procedimentos do operador, determinados pelo controlador.

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

DA TRANSFERÊNCIA INTERNACIONAL DE DADOS

Viviane Corrocher Malanga

95

Assim sendo, caso seja ultrapassado o âmbito das atividades da pessoa coletiva e utilize os dados para os seus próprios fins, será tratada como responsável pelo tratamento dos dados. Por fim, independentemente de ser uma pessoa ou uma empresa, de ser um ente privado ou público, todo aquele que tratar dados pessoais, no escopo da LGPD, terá que indicar uma pessoa dentro da corporação que responderá pelas decisões que forem tomadas em relação ao tratamento de dados de pessoas naturais.

3. Encarregado pelo Tratamento de Dados (DPO) O Encarregado pelo Tratamento de Dados também conhecido como DPO - Data Protection Officer - é essencial ao sistema de governança dos dados pessoais a ser implementado. Através de suas funções de informação, aconselhamento, controle e interface entre a organização, a autoridade nacional de dados pessoais e as pessoas envolvidas, ele impulsionará e coordenará ações de configuração e manutenção em conformidade da organização. A LGPD não define as competências necessárias para a atividade do encarregado de dados, o que poderá ser regulado pela ANPD. Sendo assim, o DPO pode ser um funcionário COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS 96 DOS AGENTES DE TRATAMENTO DE DADOS

Jane Kaunert e Cristina Hang

funcionário da organização ou uma pessoa externa que desempenha a função com base em um contrato de serviço. Pode ser compartilhado entre várias empresas do mesmo grupo, vários membros de um órgão associativo ou setorial, pode ser uma pessoa natural ou um Comitê Multidisciplinar de Proteção de Dados. O DPO será pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD), conforme definido no art. 5º, VIII da LGPD. Esse canal de comunicação estabelecido entre os envolvidos no tratamento de dados é de vital importância porque  define e centraliza na pessoa do encarregado as informações das providências tomadas ou que devam ser tomadas, ou seja, é ele quem deve ser procurado para todos os esclarecimentos e requerimentos que dizem respeito ao tratamento de dados. Daí a importância da documentação e registro de todos os atos. Em princípio, a indicação do encarregado de dados é obrigatória, podendo a autoridade nacional dispensá-la, com base em normas complementares, em razão da natureza ou porte da entidade ou, volume de dados tratados[5].

[5] Art. 41. O controlador deverá indicar encarregado pelo tratamento de dados pessoais. (...) § 3º A autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados. COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

DOS AGENTES DE TRATAMENTO DE DADOS

Jane Kaunert e Cristina Hang

97

Deste modo, encarregado.

o

controlador

está

obrigado

a

indicar

A indicação voluntária do DPO ocorre quando a empresa que trata dados pessoais não está no rol de atividades ou setores obrigados a indicar esse profissional. Entretanto, como medida de boas práticas, o controlador decide voluntariamente a proceder com tal indicação. Para efeitos da LGPD, essa faculdade não é permitida, pois a norma exige que todo ente que proceda com tratamento de dados pessoais indique um encarregado de dados (art. 41).

A previsão de dispensa de indicação será regulada pela ANPD por meio de normas complementares tomando em consideração a natureza e o porte da entidade ou o volume de operações de tratamentos de dados (art. 41, § 3º).

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

DOS AGENTES DE TRATAMENTO DE DADOS

Jane Kaunert e Cristina Hang

98

Por sua vez, o GDPR – Regulamento Geral de Proteção de Dados Pessoais da União Europeia, indica a obrigatoriedade na designação de um DPO em três situações específicas:

sempre que o tratamento seja efetuado por uma autoridade ou um organismo público; sempre que as atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento que exijam um controle regular e sistemático dos titulares dos dados em grande escala; sempre que as atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento em grande escala de categorias especiais de dados ou de dados pessoais relacionados à condenações e infrações penais[6].

No entanto, para a Lei Geral de Proteção de Dados Pessoais Brasileira (LGPD), a exigência de indicação do encarregado de dados é a regra.

[6] Grupo de Trabalho do Artigo 29-  Orientações sobre os encarregados da proteção de dados (EPD)- Adotadas em 13 de dezembro de 2016, com a última redação revista e adotada em 5 de abril de 2017. Fonte: https://www.cnpd.pt/bin/rgpd/docs/wp243rev01_pt.pdf. Acesso em 30/11/2019

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

DOS AGENTES DE TRATAMENTO DE DADOS

Jane Kaunert e Cristina Hang

99

Publicização e localização A divulgação da identidade do encarregado e forma de contato devem ser clara, pública e, preferencialmente, constar no site da entidade, pois ele é o canal de comunicação entre o titular, o controlador e a Autoridade Nacional de Proteção de Dados (ANPD), de acordo com o art. 41, § 1º da LGPD. Os contatos do encarregado devem incluir informações que permitam aos titulares dos dados e às autoridades de controle contatar facilmente o DPO (endereço postal, número de telefone e/ou endereço de correio eletrônico). Se necessário, para efeitos de comunicação com o público, podem igualmente ser disponibilizados outros meios de comunicação, por exemplo uma linha direta específica, ou um formulário específico de contato com o encarregado, disponível no site da organização. A norma não determina que os contatos publicados incluam o nome do encarregado. No entanto, a comunicação do nome do DPO à ANPD é essencial para que o encarregado possa funcionar como ponto de contato entre a organização e a autoridade de controle. Ainda assim, a título de boa prática é recomendado que a organização informe aos seus colaboradores o nome e o contato do DPO internamente, na intranet da organização e em organogramas para facilitar o acesso e o aculturamento de proteção de dados. COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

DOS AGENTES DE TRATAMENTO DE DADOS

Jane Kaunert e Cristina Hang

100

Atribuições As atividades do encarregado, como, canal de comunicação entre titular, controlador e Autoridade Nacional, estão previstas no parágrafo 2º do artigo 41 da Lei Geral de Proteção de Dados. O parágrafo 3º do mencionado artigo da LGPD estabelece a possibilidade de detalhamento de suas atividades por normas complementares. Quanto ao titular dos dados, é atribuição do encarregado aceitar as reclamações e comunicações, prestar esclarecimentos e adotar providências (garantindo o exercício do direito de acesso, a retificação, oposição, portabilidade dos dados etc., para que as respostas sejam completas e satisfatórias e fornecidas dentro do prazo. O Encarregado é responsável por sensibilizar, orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais. Esta missão pode ser realizada por meio de  reuniões informativas, pôsteres, utilização da rede interna , guias práticos, ajudará a organização a adotar medidas técnicas e organizacionais para garantir e demonstrar conformidade com a LGPD, em todos os momentos.  

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

DOS AGENTES DE TRATAMENTO DE DADOS

Jane Kaunert e Cristina Hang

101

O encarregado será, assim, levado a:

identificar as ferramentas e configurações a serem mantidos  sob os princípios de proteção de dados desde a sua concepção , e por padrão; participar no estabelecimento de regras internas sobre proteção de dados (formalização de políticas de confidencialidade de dados pessoais, instruções para o gerenciamento de solicitações de indivíduos exercendo seus direitos, estabelecer procedimentos para a detecção, tratamento de incidentes de segurança e notificação de violações de dados etc)

Em cooperação com a Autoridade Nacional, deve o encarregado  adotar providências das comunicações recebidas: deve responder a todos os pedidos que ela possa fazer durante uma verificação no local, sobre o processamento de uma reclamação, a respeito de uma consulta sobre uma avaliação de impacto ou ainda sobre a  notificação de uma violação de dados. COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

DOS AGENTES DE TRATAMENTO DE DADOS

Jane Kaunert e Cristina Hang

102

O encarregado também deve elaborar, mediante solicitação ou por sua própria iniciativa, qualquer recomendação útil. Em particular, no que se refere às análises de impacto a serem realizadas para os tratamentos que possam gerar um alto risco para os direitos e a liberdade, ele poderá pronunciar-se sobre:

a necessidade ou não de conduzir tal análise; a metodologia a seguir; as medididas a serem aplicadas para mitigar os riscos; a qualidade da análise realizada e a validade de suas conclusões (seja ou não possível prosseguir com o processamento, garantias a serem implementadas, necessidade ou não de consultar a ANPD.

Em seu papel geral de gerenciar a conformidade, o encarregado de dados ajudará a entidade a adotar medidas técnicas e organizacionais para garantir e demonstrar conformidade com a LGPD em todos os momentos.

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

DOS AGENTES DE TRATAMENTO DE DADOS

Jane Kaunert e Cristina Hang

103

CONCLUSÃO A LGPD preocupou-se em fixar obrigações para os agentes do tratamento no sentido de proteger os dados pessoais. No entanto, se deixarem de adotar medidas de segurança técnicas e administrativas para evitar o acesso não autorizado e de situações acidentais ou ilícitas de destruição perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, responderão em princípio, solidariamente, pelo dano patrimonial, moral, individual ou coletivo, e serão obrigados a repará-los, conforme estipulam os art. 42, 44 e 46 da LGPD. Os operadores podem ser responsabilizados em caso de violação de obrigações decorrentes da LGPD que lhes sejam especificamente dirigidas ou fruto do contrato celebrado com o controlador, mas também se verificado o descumprimento das instruções lícitas recebidas por parte deste. A intenção do legislador parece ser a de acautelar a posição jurídica dos titulares dos dados, atribuindo ainda, quer ao operador, quer ao controlador, um direito de regresso sobre os demais responsáveis, na medida de sua participação no evento danoso.

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

DOS AGENTES DE TRATAMENTO DE DADOS

Jane Kaunert e Cristina Hang

104

A não responsabilização do operador, assim como do controlador, ocorrerá sempre que consigam provar que não são de modo algum responsáveis pelo fato que deu origem aos danos, ou ainda, conforme o art. 43, se apresentarem provas cabais de que: não realizaram o tratamento que lhes é atribuído; que não houve violação à LGPD; que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

DOS AGENTES DE TRATAMENTO DE DADOS

Jane Kaunert e Cristina Hang

105

REFERÊNCIAS CORDEIRO, A. Barreto Menezes. Da Responsabilidade Civil Por Tratamento de Dados Pessoais, 2018. Fonte: https://blook.pt/publications/publication/2ae6399f13bb/. Acesso em 06/12/2019 MELO, Luã Maia. Agentes de Tratamento de dados pessoais in Comentários à Lei Geral de Proteção de Dados - Coleção Direito e Novas Tecnologias. Coord. FEIGELSON, Bruno. SIQUEIRA, Antonio Henrique Albani. São Paulo: Thomson Reuters Brasil, 2018. FIGUEIREDO, Tomás Taipa Guedes de. Da Responsabilidade do Subcontratante no Âmbito do RGPD. Universidade Católica Portuguesa. Fonte: https://repositorio.ucp.pt/handle/10400.14/28688. Acesso em 06/12/20219.   Grupo de Trabalho do Artigo 29- Orientações sobre os encarregados da proteção de dados (EPD)-  dotadas em 13 de dezembro de 2016, com a última redação revista e adotada em 5 de abril de 2017. Fonte: https://www.cnpd.pt/bin/rgpd/docs/wp243rev01_pt.pdf. Acesso em 30/11/2019   Privacy by design e privacy by default: qual’è la differenza? Fonte: http://regolamentoeuropeoprotezionedati.com/approfondim enti/differenza-privacy-by-design-by-default/. Acesso em 06/12/19. COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

DOS AGENTES DE TRATAMENTO DE DADOS

Jane Kaunert e Cristina Hang

106

LGPD: SEGURANÇA E BOAS PRÁTICAS Sandra Regina Alexandre¹

De início, mencionamos que a preocupação em realizar os comentários nesta obra diz respeito à implantação de novos conceitos sobre tratamento de dados pessoais em virtude das rápidas alterações tecnológicas, de comportamentos de mercado e legais, na esfera comercial. A Lei Geral de Proteção de Dados Pessoais – LGPD é, dentre outras, um marco no direito digital brasileiro. A legislação nacional é resultado de estudos a respeito, que culminou com a adoção e aplicação, no que cabe à realidade brasileira, da GPRD – General Data Protection Regulation – lei europeia. A lei nacional fornece ao agente, aos tratadores e aos titulares deveres e direitos que, se obedecidos os ditames legais, regularão as relações entre esses sujeitos de forma harmônica e respeitável diminuindo eventuais penalidades às irregularidades dos agentes e trazendo mais segurança aos titulares. (ao mencionarmos tratadores de dados nos referimos aos agentes – controlador e operador). Este Artigo pretende, dentre outros, contribuir com a discussão e fornecer elementos para as práticas decorrentes da lei que entrará em vigor em agosto de 2020, hipóteses aplicáveis aos casos de vazamentos e outras irregularidades com os dados pessoais quando, e se, estas ocorrerem. COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

¹ Sandra é Advogada. Pós-Graduada em Administração em Comércio Exterior e em Direito do Trabalho. Mestre em Direitos Difusos e Coletivos.

107

Auxiliará os controladores e operadores de dados a terem a noção do que pode e o que não pode ser feito com os dados pessoais dos titulares. Praticar a segurança perante a lei. Por outro lado, auxiliar os titulares dos dados a reconhecerem seus direitos e a identificar se os agentes tratadores estão perpetrando boas práticas. Importante frisar que tudo começa com a mudança de cultura dentro das organizações.

Da Segurança e Boas Práticas As disposições estão contidas entre o artigo 46 e o artigo 51 da lei, portanto, os tratadores de dados pessoais ao obedecerem-na estarão minimizando eventuais dificuldades, bem como divulgando o seu nome como agentes responsáveis na utilização e tratamento dos dados. O artigo 46 inicia com a disposição de que “é dever” dos agentes de tratamento adotarem medidas de segurança, técnicas e administrativas com a finalidade de proteger os dados pessoais especialmente no que toca à situações ilícitas do tratamento. Não deixa dúvidas da obrigatoriedade em se aplicar as medidas de proteção aos dados pessoais, bem como a comunicação aos titulares e à Autoridade sobre tratamento inadequado ou ilícito. Nesse sentido, cumpre ao controlador a comunicação de eventuais falhas. COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

LGPD: SEGURANÇA E BOAS PRÁTICAS

Sandra Regina Alexandre

108

O encarregado deverá orientar e estar junto do mesmo para que a comunicação se dê nos moldes que a ANPD determinar. Provavelmente a Autoridade irá disponibilizar modelos de comunicações. Também, por isso, a Autoridade Nacional de Proteção de Dados – ANPD disporá sobre padrões técnicos que deverão ser adotados e utilizados pelos controladores e operadores. As pessoas físicas e jurídicas que tratam dados terão que adotar, não só os padrões técnicos gerados pela ANPD, bem como já buscarem no mercado técnicas e sistemas, que ao serem adotados e implementados protejam os dados de titulares de acordo com a determinação legal. O § 2º.do artigo 46 dispõe sobre o que se denomina Privacy by Design:

“é uma metodologia na qual a proteção de dados pessoais é pensada desde a concepção de sistemas, práticas comerciais, projetos, produtos ou qualquer outra solução que envolva o manuseio de dados pessoais.”

O artigo 47 prevê responsabilidade de agentes de tratamento ou qualquer outra pessoa que intervenha em uma das fases do tratamento, quanto à obrigação da garantia da informação, mesmo após seu término.

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

LGPD: SEGURANÇA E BOAS PRÁTICAS

Sandra Regina Alexandre

109

Vemos aqui, os mesmos fundamentos da responsabilidade objetiva no que tange ao tratamento de dados. Em verdade, toda e qualquer pessoa/agente que interfira em qualquer fase do tratamento deve respeitar as boas práticas, sejam elas de mando interno das organizações, sejam elas por determinação da ANPD. De todos aqueles que participam da cadeia produtiva deverá haver proteção e tratamento adequado dos dados pessoais. Ex.: dados dos funcionários que constam do Contrato de Trabalho (deverá haver aditivo ou novas cláusulas ao contrato que alterem a forma como estão inseridos os dados ou a forma como eles serão tratados). Caso sejam funcionários ou terceiros que tratem dados pessoais de titulares, aconselhamos cláusula de compromisso de confidencialidade por tempo indeterminado, mesmo quando os mesmos se desligarem.

Dará trabalho a adequação? Sim. Porém, evitará problemas com a ANPD, com o MP e com o Poder Judiciário O artigo 48 obriga a comunicação à Autoridade e ao titular sobre a ocorrência de incidente de segurança. A forma desta comunicação ainda não foi divulgada pela Autoridade. Porém, o § 1º. informa que a comunicação será feita em prazo razoável, conforme aquele que será definido pela Autoridade e exige uma série de descrições obrigatórias nesta comunicação. COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

LGPD: SEGURANÇA E BOAS PRÁTICAS

Sandra Regina Alexandre

110

Portanto, o acompanhamento das disposições e regulações advindas desta Autoridade é tarefa cotidiana dos controladores e operadores de dados pessoais. No §2º. Dispõe que a Autoridade verificará a gravidade do incidente e poderá determinar ao controlador a adoção de providências específicas elencadas, tais como: I – ampla divulgação do fato em meios de comunicação; e II – medidas para reverter ou mitigar os efeitos do incidente. Quanto ao que reza o §3º. Poderá haver a exigência de comprovação de que foram adotadas medidas técnicas adequadas. Lembramos que se a organização ou profissional adotar medidas de Complaince antes da entrada em vigor da lei, essas exigências da lei estarão mitigadas ou até mesmo evitadas, podendo, ainda, a exemplo do que ocorre com a Lei Anticorrupção que também contempla Compliance minimizar ou até mesmo evitar advertências e multas.

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

LGPD: SEGURANÇA E BOAS PRÁTICAS

Sandra Regina Alexandre

111

A preocupação em obedecer padrões deve ser constante, o titular do direito deverá ser tratado como um consumidor, terá seus direitos protegidos. A empresa ou pessoa física que utilizava os dados sem critérios, chegando a vende-los, deverá a partir de agosto/2020 (diríamos o mais rápido possível) observar novas obrigações e terão um só caminho a seguir, qual seja: adotar a LGPD como diretriz de trabalho, não haverá outra saída. Essenciais os treinamentos dos funcionários ou de terceiros que tratam os dados ou que lidam com eles, no intuito de minimizar efeitos negativos levando ao conhecimento desses tratadores que existe a possibilidade de advertência bloqueios da utilização dos dados e até pagamento de multas na hipótese de cometerem práticas à margem da lei. Na hipótese de empresa de pequeno ou médio porte ou, ainda, profissionais autônomos a contratação de consultorias especializadas, posto que nem sempre são profissionais das áreas adequadas e, por desconhecimento, correrão riscos de serem autuados e multados. Observamos que deverá haver no regramento da legislação a “modulação” da aplicação das sanções, por isso, devemos todos ficar alertas sobre esta lei nos próximos meses.

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

LGPD: SEGURANÇA E BOAS PRÁTICAS

Sandra Regina Alexandre

112

Há que se ter em mente que não só as pessoas jurídicas, tais como: empresas, organizações, associações e, até mesmo o Poder Público são considerados agentes de tratamento, mas, também, a pessoa física, a depender da atividade, que lida com dados de titulares e são tratadores de dados perante a LGPD, p.ex. profissional autônomo que lide com dados de clientes para exercer as atividades.

Lembrar, sempre, que os dados não pertencem à empresa ou à pessoa e sim ao titular.

Ao adotar as boas práticas a pessoa jurídica ou física estará formando uma nova cultura no tratamento dos dados dos titulares. A postura deve ser diligente, sempre trabalhar de acordo com a lei. Haverá, então, um ganho de confiança entre o titular e os agentes do tratamento dos dados. Diríamos, entre o cliente/consumidor/paciente e os agentes.   Por conta dos procedimentos que deverão ser adotados, a “forma” de trabalhar dos agentes se modificará. Nesse sentido, a lei veio quase que “salvar” estes agentes, pois que, trabalhando em estrita observância da lei não terão problemas quanto à fiscalização da ANPD e nem incidirão em ilegalidades que poderão levar a sofrerem sanções ou a responderem judicialmente.

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

LGPD: SEGURANÇA E BOAS PRÁTICAS

Sandra Regina Alexandre

113

A empresa e/ou quem trata ou lida com dados pessoais de forma comercial, poderão criar formas próprias de proteção do tratamento de dados.  Na verdade, as normas da ANPD serão parâmetros para utilização dos dados, nada impede que os tratadores de dados junto com a área de TI, do jurídico e do RH e outras que exerçam papeis fundamentais dos negócios da organização desenvolvam sistemas e processos de proteção de dados, ou seja: um time multidisciplinar dentro das áreas da organização. Nesse aspecto o setor jurídico ou uma consultoria externa ajudarão aos tratadores de dados a criarem sistemas ou adotarem as instruções da ANPD no que diz respeito à parte legal que deverá atuar junto com as áreas acima citadas. O artigo 50 da lei admite que os controladores e operadores se reúnam em associações para formularem regras de boas práticas e de governança que estabeleçam as condições de organização que poderão ser utilizadas e até mesmo adotadas, junto com a ANPD. A segurança das informações sobre os dados deve envolver toda a cadeia de colaboradores que utilizam ou tratam dados de titulares, tanto que uma das etapas de implantação da LGPD é identificar quais as áreas que atuam com o tratamento de dados, identificar eventuais falhas, implantar a obrigação desse tratamento estar em conformidade com a legislação pertinente. Não se pode olvidar que, além da LGPD, os tratadores de dados estão sujeitos aos ditames do Código de Proteção ao Consumidor, bem como da Constituição Federal, Marco Civil da Internet, Código Civil etc.

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

LGPD: SEGURANÇA E BOAS PRÁTICAS

Sandra Regina Alexandre

114

Lembramos que o Ministério Público já pode fiscalizar e autuar os agentes que cometerem ilegalidades com os dados de titulares utilizando-se de legislação congênere como as anteriormente descritas. Diga-se, isto já está ocorrendo. Estabelecemos a seguir um parâmetro para cada item que a LGPD dispõe sobre as boas práticas, de acordo com o inciso I, do artigo 50 da lei, a saber: Comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais – está dentre as obrigações do controlador implementar políticas internas, comprovar p.ex. A obtenção de consentimentos, relatar ao operador pedido de revogação e eliminação de dados e outros, nos exatos parâmetros da lei.

Deverá, também, promover treinamentos internos, por vezes externos, apoiar e aderir às políticas de regulamentos e boas prática internamente, no caso de empresa, aquelas que tiverem o setor de Compliance estarão na frente em adotar medidas que a ANPD instituir, pois já estarão acostumadas a práticas de boa governança. Aconselhamos adoção de Código de Conduta internos e, efetivamente, cobrarem dos empregados e fornecedores, prestadores de serviços se realmente conhecem e praticam o que se prega nesses códigos.

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

LGPD: SEGURANÇA E BOAS PRÁTICAS

Sandra Regina Alexandre

115

Seja aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo como se realizou sua coleta – há que se prestar atenção que os dados que fornecedores e prestadores de serviços trazem para a pessoa jurídica ou física, por conta das atividades desenvolvidas também se sujeitam à lei. Portanto, todo o cuidado nas relações com esses auxiliares dos serviços. Devem saber dos riscos que se corre no tratamento de dados. Ou seja: Deve existir uma cadeia de troca de informações e cuidados.

Chamamos a atenção para o fato de que as regras da LGPD se aplicam também aos dados já obtidos pelos agentes de tratamento antes da entrada em vigor da lei. Assim, haverá, obrigatoriamente, adequação dos dados aos novos regulamentos e regramentos decorrentes da lei. Seja adaptado à estrutura, à escala e ao volume das operações, bem como à sensibilidade dos dados tratados – a própria redação dessa alínea dispensa maiores comentários. Por óbvio, que o cuidado que se dê à qualquer fase do tratamento de dados deverá alinhar os processos de proteção de dados adequados à estrutura, à escala e ao volume das operações. Especial dedicação ao volume, posto que, em se tratando de algumas empresas, organizações a importância desse item é crucial para o seguimento das atividades, p.ex: operadoras de telecomunicações, grandes varejistas e outros. COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

LGPD: SEGURANÇA E BOAS PRÁTICAS

Sandra Regina Alexandre

116

Estabeleça políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade – na verdade quem estabelece medidas de salvaguardas é o Poder Público, que poderão atingir pessoas de direito privado.

O artigo 2º. da Portaria n. 1335, de 21/05/2018 do Ministério da Transparência e Controladoria-Geral da União, que Regulamenta os procedimentos relativos ao acesso e ao tratamento de documentos e informações no âmbito do Ministério da Transparência e Controladoria-Geral da União – CGU: Art. 2. [...] “XIII - salvaguardas de acesso: medidas de restrição ao acesso às informações; XIV - salvaguardas de gestão: medidas de proteção da informação adotadas a fim de garantir a disponibilidade, integridade, confidencialidade e autenticidade dessa informação; e XV- titular da informação: pessoa física ou jurídica, de direito público ou privado, a que se refira a informação.

A intenção de salvaguardas é proteger ao máximo os direitos dos titulares a fim de que seus dados não sejam divulgados ou vazados sem controle e, caso ocorra, que a restauração da forma adequada seja a mais breve. COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

LGPD: SEGURANÇA E BOAS PRÁTICAS

Sandra Regina Alexandre

117

Tenha o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular – o acesso do titular ao tratamento de seus dados deve ser o mais simples possível, por meio eletrônico, por meio escrito físico ou por canais que permitam a ele saber a qualquer momento como estão sendo tratados seus dados, sempre de forma gratuita. A própria lei determina se a resposta a um questionamento do titular pode ser imediata ou com um prazo. Mas, o que deve ser o mais acessível possível é a forma como o titular faz a consulta. Aqui fazemos uma observação sobre a possibilidade do titular se utilizar de um meio jurídico denominado “habeas data” quando ele quiser saber sobre seus dados e, por algum motivo, lhe é negado. Esteja integrado a sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos – aqui a lei se refere não só, mas com ênfase, às empresas, organizações, associações e ao Poder Público que possuem setor de governança e até mesmo auditorias que deverão estar em plena consonância com a legislação. Por isso da nossa insistência de que a lei, antes de ser um empecilho quanto à sua adequação, é uma armadura com a extraordinária missão de reduzir imprevistos no que diz respeito ao tratamento de dados. Ela tem a incumbência de orientar os agentes a saberem tratar os dados dando-lhes os parâmetros, e a informar o que não pode ser feito com os dados pessoais para que não cometam ilegalidades. COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS 118 LGPD: SEGURANÇA E BOAS PRÁTICAS

Sandra Regina Alexandre

Conte com planos de resposta a incidentes e remediação – como dito anteriormente, a própria lei determina prazo para resposta e remediação de condutas ou até justificativas da sua não realização. Por isso, que recomendamos que os agentes trabalhem com apoio de um departamento legal e com o setor de TI ou consultores nestas áreas. Assim, há que se ter “planos de respostas” implementados e com o pessoal treinado para operá-lo, tão logo as demandas apareçam. São medidas que devem estar no escopo dos agentes desde cedo. Seja atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas – insiste a preocupação da transmissão uniforme e periódica das avaliações e respostas sobre os dados pessoais.

O artigo 51 prevê que a ANPD estimulará a utilizações de padrões técnicos que facilitem o controle pelos titulares de seus dados pessoais. Aqui vê-se a preocupação com os titulares, bem como o seu tratamento equiparado a um consumidor.

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

LGPD: SEGURANÇA E BOAS PRÁTICAS

Sandra Regina Alexandre

119

CONCLUSÃO Diante do exposto, tem-se que ao controlador e ao operador incumbe a preocupação e ação para adequar as organizações em geral e até às pessoas físicas que tratem dados pessoais em adotar as medidas necessárias para evitar ou minimizar os riscos de eventuais vazamentos, devendo aplicar toda a técnica disponível para o tratamento dos dados, incluindo tecnologia moderna e preocupação com proteção das formas como os dados são armazenados e tratados, até porque, poderão ser obrigados a bloqueá-los ou apagá-los. Esse é um dos preços da modernidade. Numa era de comunicação em tempo real os cuidados poderão representar um ônus a quem deles se beneficia, mas, também, serão responsáveis pela projeção do nome da organização ou pessoa como sujeito de boas práticas comerciais resultando em bons frutos da vida econômica.

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

LGPD: SEGURANÇA E BOAS PRÁTICAS

Sandra Regina Alexandre

120

REFERÊNCIAS CUNHA, Mauro Leonardo: Comentários à Lei Geral de Proteção de Dados. 2018 - Brasília, Edição própria - 1ª. Ed.   BRASIL. Constituição da República Federativa do Brasil. Vade Mecum Revista dos Tribunais. Thomson Reuters. Ed. 2017.   VENTURA, Leonardo Henrique de Carvalho. “Privacy bu design” e Compliance na LGPD. Fonte: https://jus.com.br/artigos/69585/privacy-by-design-ecompliance-na-lgpd. Acesso em 19/01/2020.   GONÇALVES, Marcus Vinicius Rios. Tutela de interesses difusos e coletivos. 4. ed. São Paulo: Saraiva, 2010.   BRASIL. Lei n.º 13.709, de 14 de agosto de 2018. Fonte: http://www.planalto.gov.br/ccivil_03/_ato20152018/2018/lei/L13709.htm. Acesso em 19/01/2020.   Lei Geral de Proteção de Dados Pessoais. AASP. Revista do Advogado. n.º 144. Nov. 2019.

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

LGPD: SEGURANÇA E BOAS PRÁTICAS

Sandra Regina Alexandre

121

DA SEGURANÇA E DAS BOAS PRÁTICAS LGPD NA EDUCAÇÃO Adriana Cristina França Leite de Carvalho¹

Quando pensamos na aplicação da Lei Geral de Proteção de Dados Pessoais nas instituições de educação, logo nos vem uma lista de providências a serem tomadas, especialmente no âmbito da segurança e das boas práticas para a efetiva proteção, pois seu negócio é gerido por tratamento de dados, através de documentos e contratos na forma física e digital.   É sabido que a LGPD (Lei nº 13.709/2018) foi inspirada na GDPR (General Data Protection Regulation), equiparando-se, de certa forma, ao rigor de normas internacionais. Embora se diga que essas normas são mais severas quanto ao uso de dados pessoais coletados digitalmente, não podemos desprezar os cuidados necessários com o tratamento dos dados pessoais coletados fisicamente, pois, em termos de instituição de educação no Brasil, essa ainda é uma prática muito comum. Por essa razão, passaremos a discorrer sobre as medidas de segurança e as boas práticas que se mostram primordiais na busca do cumprimento da lei.

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

¹ Adriana é Advogada especialista em Direito Civil, Consumidor e Direito e Tecnologia da Informação. Membra da Comissão de Direito Digital, Tecnologia e Inteligência Artificial da OAB/SP Subsecção Jabaquara-Saúde e da Comissão de Direito e Inteligência Artificial do IASP - Instituto dos Advogados de São Paulo.

122

Da Segurança e Boas Práticas De início, para que a instituição educacional possa dar início aos trabalhos, a fim de estar em compliance com a lei, destacamos as seguintes providências: Análise de softwares existentes na instituição; Levantamento dos arquivos físicos; o processo de guarda e segurança destes documentos; Análise dos dados pessoais existentes em sua base de dados; Verificar o fluxo de vida dos dados pessoais na instituição: coleta, uso, armazenamento, eliminação e compartilhamento com terceiros; Avaliação de circuitos de CFTV e trânsito dos dados veiculados nesse circuito; Identificação de dados sensíveis e de menores; Bases legais utilizadas pela instituição atualmente para justificar o tratamento desses dados pessoais; Identificação de vulnerabilidades de tecnologia (redes, antivirus, firewalls, licenciamento de softwares, atualizações, dentre outros) e consequente pesquisa de sistema que melhor atenda a instituição; COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

DA SEGURANÇA E DAS BOAS PRÁTICAS. LGPD NA EDUCAÇÃO

Adriana Cristina França Leite de Carvalho

123

Avaliação dos processos de segurança da informação existentes na instituição; Processos de comunicação das informações de alunos com órgãos públicos; Existência de políticas internas de privacidade e segurança da informação; Treinamento de colaboradores sobre privacidade e a importância dos dados pessoais; Estabelecer código de conduta para os colaboradores, a fim de garantir a privacidade e a proteção dos dados tratados na instituição.

Como se vê, a instituição educacional terá que avaliar as políticas de segurança e tratamento de dados pessoais realizados também por parceiros de seu negócio, como fornecedores, prestadores de serviços (agência de viagens para passeios e viagem de formatura, empresas de filmagem e fotografia, seguradoras, etc.), órgãos governamentais, dentre outros.

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

DA SEGURANÇA E DAS BOAS PRÁTICAS LGPD NA EDUCAÇÃO

Adriana Cristina França Leite de Carvalho

124

O trabalho de mapeamento dos dados pessoais e do seu ciclo de vida dentro da instituição deve ser a primeira medida a ser tomada, com o objetivo de identificar os riscos mais elevados no processo da segurança no tratamento desses dados. Tomada a referida providência, a instituição deverá combater por primeiro os riscos de maior grau de impacto e a possibilidade de ocorrência de incidentes, para os de menores riscos, sucessivamente. É importante reforçar que essas políticas precisam ser revisadas regularmente a fim de que possam ser ajustadas segundo as necessidades operacionais da instituição, na busca pela conformidade com a LGPD. A instituição, buscando promover a segurança da informação, deve utilizar os processos e procedimentos necessários com técnicas adequadas e específicas a assegurar a disponibilidade integridade e confidencialidade de todas as formas de informação, durante todo o ciclo de vida dos dados, até o seu descarte. Cabe ressaltar que a LGPD, em seu artigo 46, parágrafo 1º, dispõe que a autoridade nacional poderá dispor sobre padrões técnicos mínimos aptos a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

DA SEGURANÇA E DAS BOAS PRÁTICAS LGPD NA EDUCAÇÃO

Adriana Cristina França Leite de Carvalho

125

Vale ainda lembrar, que devido à responsabilidade solidária das ações imputadas durante o processo de tratamento de dados, todos os agentes envolvidos devem assegurar a utilização dos meios corretos e eficazes no procedimento, preservando a trilha de auditoria para fins de apuração.

Boas Práticas Considerando o pouco tempo que resta até a entrada em vigor a LGPD, prevista para Agosto de 2020, para que as instituições educacionais possam se adequar, precisam correr contra o tempo, enredando todos os esforços, demonstrando sua boa-fé e buscando mitigar todos os riscos detectados como possíveis. O temor pela penalidade em valor milionário tem contribuído para “demonizar” a LGPD, no entanto, esse não é o espírito da lei. Vale lembrar que a Autoridade Nacional de Proteção de Dados, antes de aplicar qualquer penalidade, ao realizar a fiscalização, conforme dispõe o artigo 52 da LGPD, parágrafo 1º, em seus incisos, considerará: A gravidade das infrações e dos direitos pessoais afetados; A boa-fé do infrator;

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

DA SEGURANÇA E DAS BOAS PRÁTICAS LGPD NA EDUCAÇÃO

Adriana Cristina França Leite de Carvalho

126

A vantagem auferida ou pretendida pelo infrator; A condição econômica do infrator; A reincidência; O grau de dano causado; A demonstração de adoção de mecanismos procedimentos para mitigar os danos;

e

A adoção de política de boas práticas e governança; A pronta adoção de medidas corretiva; A proporcionalidade entre a gravidade da falta e a intensidade da sanção.

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

DA SEGURANÇA E DAS BOAS PRÁTICAS LGPD NA EDUCAÇÃO

Adriana Cristina França Leite de Carvalho

127

No contexto do fluxo de dados pessoais nas instituições de educação, é fundamental cuidar do seu tratamento com esmero, analisando os riscos que possam ameaçar a privacidade do titular dos dados, realizando todas as operações técnicas sobre esses dados, de modo informatizado ou não, com a finalidade de se refinar, ou filtrar a informação, tornando-a mais valiosa e útil. Muito se fala dos dados pessoais que são obtidos por meios secretos, mas nem sempre isso acontece, pois no caso das instituições de educação, todos os atores envolvidos no negócio participam ativamente no processo de concessão de suas informações. São eles: Alunos Pais de alunos Professores Equipes Administrativas (colaboradores em geral) Visitantes

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

DA SEGURANÇA E DAS BOAS PRÁTICAS LGPD NA EDUCAÇÃO

Adriana Cristina França Leite de Carvalho

128

Para que possa haver uma conscientização de todos sobre a importância da proteção dos dados, entendemos ser de bom alvitre a tomada de algumas providências, consideradas como boas práticas, as quais passamos a sugerir: Desenvolvimento de vídeo explicativo sobre a LGPD e a importância da proteção de dados na instituição; Reuniões de capacitação com os colaboradores, com registro através de assinatura de lista de presença; Preparo de cartilha didática explicativa sobre o tema, da qual os colaboradores tomem ciência; Apresentação de um questionário sobre o tratamento de dados pelos funcionários, para que as respostas sirvam de diretrizes para tomada de decisões e medidas para melhorar a segurança dos procedimentos; Fazer reuniões de capacitação com as empresas terceirizadas.

A fim de facilitar a tomada das medidas corretas para a proteção de dados coletados na instituição de educação, todas as informações sobre o processamento de dados pessoais precisam ser concisas, transparentes, inteligíveis, de fácil acesso, de fácil compreensão, em linguagem clara e simples, e fornecidas ao titular antes da coleta dos dados. COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

DA SEGURANÇA E DAS BOAS PRÁTICAS LGPD NA EDUCAÇÃO

Adriana Cristina França Leite de Carvalho

129

Seguindo no objetivo do cumprimento da lei, a instituição ainda deve atualizar os seguintes documentos: Política de Privacidade; Contratos de Matrícula; Contrato com Terceirizados; Necessário atentar-se também à comprovação da aplicação de medidas administrativas e técnicas de proteção dos dados pessoais, conforme previsão dos artigos 6º, 18 e 42 a 49 da LGPD; Observar o princípio universal do melhor interesse da criança, Artigo 14 da LGPD que reitera a Convenção Universal dos Direitos da Criança e do próprio ECA, obtendo o consentimento dos pais ou responsável legal para o caso dos alunos com até 13 anos de idade; Transparência quanto aos tipos de dados coletados, como serão armazenados, utilizados e até descartados; sob pena de responsabilidade civil pela falta de segurança da informação, privacidade e proteção de dados; Cuidar com o tratamento dos dados obtidos através de fotos, filmagens e gravação em ambiente escolar;

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

DA SEGURANÇA E DAS BOAS PRÁTICAS LGPD NA EDUCAÇÃO

Adriana Cristina França Leite de Carvalho

130

Obter autorização para uso de imagem; Cuidar com o tratamento dos dados obtidos no monitoramento e inspeção no ambiente escolar;

Quanto aos documentos antigos em arquivo na instituição educacional, algumas dúvidas se apresentam na questão da aplicação da lei. No entanto, as mesmas regras criadas para novas coletas deverão ser aplicadas ao legado, mas com procedimentos específicos, por exemplo, dados que por determinação interna não poderão mais ser coletados, deverão ser eliminados se fizerem parte do banco de dados do legado. Faz-se oportuno destacar que, quanto ao acervo acadêmico do ensino superior o Decreto nº 9.235, de 2017, em seu artigo 104 e artigo 45, da Portaria 315/2018 do MEC, dispõem que: Os documentos e informações que compõem o acervo acadêmico, independente da fase em que se encontrem ou de sua destinação final, conforme Código e Tabela aprovados pela Portaria AN/MJ no 92, de 2011, deverão ser convertidos para o meio digital, no prazo de vinte e quatro meses, de modo que a conversão e preservação dos documentos obedeçam aos seguintes critérios: os métodos de digitalização devem garantir a confiabilidade, autenticidade, integridade e durabilidade de todas as informações dos processos e documentos originais; e COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS 131 DA SEGURANÇA E DAS BOAS PRÁTICAS LGPD NA EDUCAÇÃO

Adriana Cristina França Leite de Carvalho

a IES deverá constituir comitê gestor para elaborar, implementar e acompanhar a política de segurança da informação relativa ao acervo acadêmico, conforme definido nesta Portaria, no Marco Legal da Educação Superior e, de maneira subsidiária, em suas normas institucionais.

O Art. 46 da mesma Portaria, ainda estabelece que  o acervo acadêmico, oriundo da digitalização de documentos ou dos documentos nato-digitais, deve ser controlado por sistema especializado de gerenciamento de documentos eletrônicos, que possua, minimamente, as seguintes características: capacidade de utilizar e gerenciar base de dados adequada para a preservação do acervo acadêmico digital; forma de indexação que permita a recuperação do acervo acadêmico digital;

pronta

método de reprodução do acervo acadêmico digital que garanta a sua segurança e preservação; e utilização de certificação digital padrão ICP-Brasil, conforme disciplinada em lei, pelos responsáveis pela mantenedora e sua mantida, para garantir a autenticidade, a integridade e a validade jurídica do acervo.

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

DA SEGURANÇA E DAS BOAS PRÁTICAS LGPD NA EDUCAÇÃO

Adriana Cristina França Leite de Carvalho

132

O Art. 47 da LGPD ainda dispõe que “vencido o prazo de guarda da fase corrente, o documento em suporte físico do acervo acadêmico em fase intermediária, cuja destinação seja a eliminação, poderá ser substituído, a critério da instituição, por documento devidamente microfilmado ou digitalizado, observadas as disposições, no que couber, da Lei nº 5.433, de 8 de maio de 1968, e do Decreto nº 1.799, de 30 janeiro de 1996.”   Vale ressaltar que a manutenção de acervo acadêmico não condizente com os prazos de guarda, destinações finais e especificações definidas na referida Portaria poderá ser caracterizada como irregularidade administrativa, sem prejuízo dos efeitos da legislação civil e penal.

O que sua instituição está fazendo para proteger os dados pessoais?

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

DA SEGURANÇA E DAS BOAS PRÁTICAS LGPD NA EDUCAÇÃO

Adriana Cristina França Leite de Carvalho

133

Lembramos por fim, que alguns detalhes recorrentes no ambiente escolar, requerem cautela, quais sejam: Informações que relacionam os resultados de avaliações com desempenho acadêmico do aluno; Relatórios que possam rotular, identificar o aluno ou torna-lo identificável devem ser direcionados exclusivamente ao aluno e seus responsáveis; Expedição de comunicado para recuperação/reforço, mau comportamento, notas, condição especial, devem ser direcionados exclusivamente ao aluno e/ou seus responsáveis; Escolas que oferecem alimentação armazena dados sobre a impossibilidade de ingestão de alguns alimentos (por motivo de saúde ou religião); Necessidade de elaboração de documento de consentimento para tratamento dos dados sensíveis.

CONCLUSÃO Vimos que a LGPD não veio para inviabilizar os negócios, mas sim, para torna-los mais legítimos e confiáveis.

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

DA SEGURANÇA E DAS BOAS PRÁTICAS LGPD NA EDUCAÇÃO

Adriana Cristina França Leite de Carvalho

134

REFERÊNCIAS FEFERBAUM, Marina; LIMA, Stephanie Hilda Barbosa. Lei Geral de Proteção de Dados Pessoais. Revista do Advogado n.º 144/nov/2019. AASP.]   GIOVANNINI JUNIOR. Josmar Lenine. Governança de Dados Pessoais na obra LGPD Lei Geral de Proteção de Dados Pessoais: Manual de Implementação. Coord. MALDONADO, Viviane Nóbrega. Revista dos Tribunais. São Paulo: 2019.   MENDES, Laura Schertel. Privacidade, proteção de dados e defesa do consumidor: Linhas gerais de um novo direito fundamental. 2. ed. São Paulo: Editora Saraiva, 2019.   PINHEIRO, Patrícia Peck. Proteção de Dados Pessoais: Comentários à Lei n. 13.709/2018 (LGPD). 2. ed. São Paulo: Editora Saraiva, 2019.   A LGPD na educação. Fonte: https://geneses.com.br/lgpd-naeduacao/. Acesso em 11 de dezembro de 2019.   Associação Brasileira de Mantenedoras de Ensino Superior. Fonte: https://abmes.org.br/arquivos/legislacoes/Port-MEC315-2018-04-04.pdf. Acesso em 15 de dezembro de 2019.   BRASIL. Lei Geral de Proteção de Dados Pessoais. Lei n.º 13.708 de 14 de agosto de 2018. Fonte: http://www.planalto.gov.br/ccivil_03/_ato20152018/2018/lei/L13709.htm. Acesso em 15 de dezembro de 2019.

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

DA SEGURANÇA E DAS BOAS PRÁTICAS LGPD NA EDUCAÇÃO

Adriana Cristina França Leite de Carvalho

135

DA FISCALIZAÇÃO EM FACE DA LEI GERAL DE PROTEÇÃO DE DADOS Carlos Henrique Terçariol Bergonso¹

Trata-se de uma abordagem que visa demonstrar como funcionará a fiscalização no âmbito da nova Lei Geral de Proteção de Dados, e o quanto será necessário que as empresas aperfeiçoem seus programas de compliance, dentre aquelas que já o possuam, e dentre aquelas que não o possuam, que o implementem. Para tanto, o presente artigo tem como finalidade demonstrar ainda o quanto isto se fará necessário, tendo em vista que o rigor da Lei neste sentido será muito grande, e aqueles que não se adequarem a contento “sentirão literalmente no bolso”.   Neste sentido mostrar-se-á por meio deste estudo, utilizando-se de uma linguagem simples e prática, ou seja, acessível, portanto, a diversos profissionais de diversas áreas, quais serão os mecanismos básicos de fiscalização e punição que serão efetivados por meio de sanções administrativas Ainda com relação à fiscalização, aqui em foco, para que seja melhor compreendida, faz-se necessária a explanação de breves noções sobre compliance e contenção de riscos, além de planos de governança.

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

¹ Carlos é Advogado. Atuante há mais de 20 anos; Palestrante e Professor; Defensor Público; Pós-graduado em Direito Processual Civil pela Universidade Presbiteriana Mackenzie; Pós-graduado em Direito Civil e Direito Processual Civil pela Faculdade Legale; Membro-Relator do Tribunal de Ética e Disciplina da OAB/SP; Presidente da Comissão de Esporte e Integração Social e Membro das Comissões de Direito Digital, OAB vai à Escola, Direito Médico, Direito Imobiliário, Direito das Sucessões, Direito Sistêmico da OAB / SP - Subseção Jabaquara.

136

A fim de proporcionar uma noção abrangente e ao mesmo tempo eficaz, dedicar-se-á especialmente o presente estudo à uma visão prática, que foge a conceitos meramente acadêmicos e que por vezes de difícil compreensão, visando a obtenção de resultados mais eficazes. Portanto, iremos esclarecer ainda que a presente Lei no que se refere à fiscalização também possui um escopo diretamente atrelado à análise e aplicação aos casos concretos, o que por si só já proporciona, ao menos, uma sensação maior de distribuição de justiça na sua aplicação prática. Deste modo, esta modesta contribuição visa mostrar uma perspectiva otimista com relação ao tema, especialmente voltado ao empresariado, tendo em vista que, por um lado, haverá, sim, a necessidade de um investimento para que haja adequação à nova Lei visando evitar punições elevadas, mas que por outro lado, demonstrará que esta necessária adequação proporcionará uma maior organização e aprendizado aos funcionários. Além do que, esta adequação à nova Lei certamente poderá ser utilizada em outros aspectos na empresa, que por fim, resultará na qualidade final do serviço prestado ou do produto fornecido por determinada empresa. 

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

DA FISCALIZAÇÃO EM FACE DA LEI GERAL DE PROTEÇÃO DE DADOS

Carlos Henrique Terçariol Bergonso

137

Derradeiramente, e ainda neste sentido, em efeito cascata, esta boa prática que produzirá maior qualidade nos serviços prestados e produtos, elevará o conceito das empresas no Brasil, notadamente com relação ao mercado internacional, o que certamente resultará em uma melhora significativa que será sentida por toda a sociedade e ainda para a economia do país.

Da Fiscalização Antes de adentrarmos ao tema propriamente dito, da fiscalização em face da LGPD, se torna importante estudarmos os conceitos básicos com relação ao compliance, que ajudará na melhor compreensão dos mecanismos de fiscalização e de prevenção de riscos, assim como atentar-se para a cultura de que a fiscalização desta Lei se dará também pela própria sociedade.

Do Compliance O termo compliance tem origem no verbo em inglês to comply, que significa agir de acordo com uma regra, uma instrução interna, um comando ou um pedido, e segundo Assi (212), “significa estar em conformidade com leis e regulamentos externos e internos”. Portanto, um departamento de compliance em uma empresa é o responsável por garantir o cumprimento de todas as leis, regras e regulamentos aplicáveis, tendo uma vasta gama de funções dentro da empresa (monitoramento de atividades, prevenção de conflitos de interesses, etc). COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

DA FISCALIZAÇÃO EM FACE DA LEI GERAL DE PROTEÇÃO DE DADOS

Carlos Henrique Terçariol Bergonso

138

Segundo os estudiosos Coimbra e responsabilidades do compliance são:

Manzi

(2010),

as

Assegurar, em conjunto com as demais áreas, a adequação, o fortalecimento e o funcionamento do sistema de controles internos, procurando mitigar riscos de acordo com a complexidade de seus negócios, bem como disseminar a cultura de controles para assegurar o cumprimento das leis e regulamentos existentes.

Já as áreas de controles internos abrangem sistemas, processos, procedimentos, pessoas e tecnologia.

Da Sociedade como ente fiscalizador Além de haver uma mudança na cultura das médias, e especialmente nas pequenas empresas, deverá haver uma preocupação por parte destas, uma vez que a fiscalização se dará além do órgão regulador (Autoridade Nacional de Proteção de Dados – ANPD), que vai fiscalizar os eventuais vazamentos, e caso não o faça a contento, a sociedade entrará também com o papel fiscalizador visando o cumprimento e adequação à LGPD, por meio dos Procons Estaduais, do Ministério Público e das Associações de Defesa do Consumidor.

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

DA FISCALIZAÇÃO EM FACE DA LEI GERAL DE PROTEÇÃO DE DADOS

Carlos Henrique Terçariol Bergonso

139

Das Sanções Administrativas A LGPD prevê a aplicação de sanções administrativas a serem utilizadas de acordo com cada caso concreto pela autoridade nacional após conclusão de procedimento administrativo, garantida a ampla defesa. Dentre as sanções, estão previstas no artigo 52, (I) advertência, com indicação de prazo para adoção de medidas coercitivas; (II) multa simples, de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, limitada, no total, a R$ 50.000.000,00 por infração; (III) multa diária (limitada a este valor); (IV) publicização da infração após devidamente apurada e confirmada a sua ocorrência; (V) bloqueio dos dados pessoais a que se refere a infração até a sua regularização; e (VI) eliminação dos dados pessoais a que se refere a infração. Muito embora perceba-se uma rigidez nos valores previstos como penalidade pelo descumprimento da Lei, nota-se também nitidamente um caráter educativo ou corretivo na presente Lei, tendo em vista que oportuniza a regularização antes da efetiva punição, conforme descrito no inciso I citado acima.

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

DA FISCALIZAÇÃO EM FACE DA LEI GERAL DE PROTEÇÃO DE DADOS

Carlos Henrique Terçariol Bergonso

140

Nota-se isto claramente também por meio do caput do § 1º do mesmo artigo 52, que prevê que: “As sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto (...)”. Portanto, verifica-se a preocupação do legislador com o devido processo legal, ou seja, o contraditório, e especialmente, a ampla defesa, e ainda demonstrando um caráter de flexibilização, ao passo que prevê que a ampla defesa se dê de forma gradativa. Já por meio dos parâmetros e critérios para aplicação da corrente Lei (previstos nos incisos do mesmo parágrafo), nota-se características que atendem aos princípios da equidade e da razoabilidade, uma vez que atrela as penalidades sempre às peculiaridades de cada caso concreto, senão vejamos:   (I) a gravidade e a natureza das infrações e dos direitos pessoais afetados; (II) a boa-fé do infrator; (III) a vantagem auferida ou pretendida pelo infrator; (IV) a condição econômica do infrator; (V) a reincidência; (VI) o grau do dano; (VII) a cooperação do infrator; (VIII) a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com o disposto no inciso II do § 2º do art. 48 desta Lei; (IX) a adoção de política de boas práticas e governança; (X) a pronta adoção de medidas corretivas; e (XI) a proporcionalidade entre a gravidade da falta e a intensidade da sanção.

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

DA FISCALIZAÇÃO EM FACE DA LEI GERAL DE PROTEÇÃO DE DADOS

Carlos Henrique Terçariol Bergonso

141

Tal característica é também observada no artigo 54, que dispõe que o valor da sanção de multa diária aplicável às infrações a esta Lei, deve observar a gravidade da falta e a extensão do dano ou prejuízo causado, acrescentando ainda que deve ser fundamentado pela autoridade nacional, o que demonstra uma seriedade da presente Lei ao exigir a respectiva fundamentação. No mais, percebe-se uma preocupação do legislador ao formular a nova Lei com as novas tendências do Código de Processo Civil de 2015, que propõe sempre uma tentativa de conciliação antes que se ocorra uma efetiva punição, conforme preceitua o § 7º da presente Lei: § 7º Os vazamentos individuais ou os acessos não autorizados de que trata o caput do art. 46 desta Lei poderão ser objeto de conciliação direta entre controlador e titular e, caso não haja acordo, o controlador estará sujeito à aplicação das penalidades de que trata este artigo.

Por fim, importante destacar que, para aplicação da presente Lei e das respectivas sanções, deverão ser observados critérios fundamentados e perquiridos de metodologias específicas e aspectos de dosimetria, que serão definidos pela autoridade nacional, conforme previsão no artigo 53 da presente Lei.

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

DA FISCALIZAÇÃO EM FACE DA LEI GERAL DE PROTEÇÃO DE DADOS

Carlos Henrique Terçariol Bergonso

142

CONCLUSÃO O presente artigo propõe uma reflexão e uma busca por um estudo maior, ao abordar o tema relativo à fiscalização em face da LGPD, e propiciar, acima de tudo, com a chegada da nova Lei, contornos otimistas ao empresariado brasileiro, tendo em vista que a crescente pressão que a nova Lei está exercendo, ultrapassa sua finalidade objetiva por si só, indo além, ajudando na adoção de padrões éticos, que gerem valor a todos os seus stakeholders (atores envolvidos na órbita da empresa, como funcionários, fornecedores, atacadistas, varejistas, etc.) devendo, com isto impulsionar as organizações para a criação de programas preventivos e de monitoramento constante. Porém, este artigo não tem a pretensão de esgotar o tema e nem resolver os grandes dilemas que envolvem a questão, que certamente só serão do nosso total conhecimento a partir do momento da efetiva entrada e aplicação da Lei. Entretanto, por meio da pesquisa aqui realizada, pode-se constatar alguns nortes e objetivos da presente Lei, que por meio da sua fiscalização proporcionará punições àqueles que insistirem em não se adequar à nova realidade de proteção de dados, e por outro lado, proporcionará um aumento no padrão de qualidade da empresa, àqueles que estiverem em dia com suas boas práticas e obrigações voltadas à Lei. Lembrando que a Lei por meio da fiscalização proporcionará uma mudança de cultura voltada ao preventivo, que faz parte tão somente da cultura organizacional das grandes empresas, COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS 143 DA FISCALIZAÇÃO EM FACE DA LEI GERAL DE PROTEÇÃO DE DADOS

Carlos Henrique Terçariol Bergonso

empresas, especialmente das multinacionais, e agora deverão fazer parte, por meio desta nova Lei das empresas de médio e até de pequeno porte, que iminentemente não adotavam políticas de qualidade na sua grande maioria. É por meio desta necessidade de adequação, que resultará inicialmente em aportes financeiros, e do eminente risco de sanções legais ou regulatórias ou de perda financeira (evitando gastos com multas) ou de reputação, que uma empresa poderá alcançar com maior solidez seus objetivos estratégicos. Portanto, não estamos falando de conceitos conflitantes, e sim de uma sinergia e oportunidade de tornar uma empresa mais ética e séria, e, com isto mais fortalecida no mercado de trabalho. E assim, este conceito vale ainda para as esferas trabalhista, fiscal, contábil, financeira, ambiental, jurídica, previdenciária, ética, etc. Por meio desta reflexão, que trata-se mais de um esboço do que uma conclusão, pode-se sim extrair uma importante lição a ser seguida, que “é melhor prevenir por meio da implantação de um compliance sério e eficaz do que remediar com o caixa da sua empresa, e o que ainda pode ser pior, a imagem da empresa frente aos clientes”.

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

DA FISCALIZAÇÃO EM FACE DA LEI GERAL DE PROTEÇÃO DE DADOS

Carlos Henrique Terçariol Bergonso

144

REFERÊNCIAS ASSI, Marcos. Gestão de riscos com controles internos: ferramentas, certificações e métodos para garantir a eficiência dos negócios. São Paulo: Saint Paul, 2012.   COIMBRA, Marcelo de A.; MANZI, Vanessa A., organizadores. Manual de compliance: preservando a boa governança e a integridade das organizações. São Paulo: Atlas, 2010.   QUEM VAI REGULAR A LGPD, disponível em http://www.serpro.gov.br/lgpd/governo/quem-vai-regular-efiscalizar-lgpd. Acesso em 19/01/2020.   BRASIL. Lei n.º 13.709, de 14 de agosto de 2018. Fonte: http://www.planalto.gov.br/ccivil_03/_ato20152018/2018/lei/L13709.htm. Acesso em 19/01/2020.

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

DA FISCALIZAÇÃO EM FACE DA LEI GERAL DE PROTEÇÃO DE DADOS

Carlos Henrique Terçariol Bergonso

145

DA ANPD E DO CONSELHO NACIONAL DE PROTEÇÃO DE DADOS PESSOAIS E DA PRIVACIDADE Maria Inês Costa Assaf¹ e Fabio Henrique Assaf Domingues²

O presente trabalho tem por objetivo apresentar os principais pontos a respeito da Autoridade Nacional de Proteção de Dados, sua composição, competências, atuação, estrutura, independência e autonomia, bem como trazer discussão a respeito do aparente conflito com demais órgãos que possuem competência para fiscalizar e controlar pessoas privadas incumbidas da prestação de serviços públicos. A ANPD foi devidamente criada por lei e seu Conselho Nacional de Proteção de Dados e da Privacidade vem tomando forma com as indicações já formalizadas pelo Conselho Nacional do Ministério Público, pelo Senado Federal, bem como pela Câmara dos Deputados. Contudo, ainda se aguarda a edição do decreto que a estruture, determinando objetivamente assuntos intrínsecos, tais como a quantidade e forma de seleção de funcionários e a normatização interna.

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

¹ Maria Inês é Advogada pós-Graduada em Direito Processual, membra da Comissão de Direito Digital, Tecnologia e Inteligência Artificial da Ordem dos Advogados do Brasil – Subsecção do Jabaquara. Integrante do corpo jurídico do Grupo Assaf. ² Fabio é Fundador e CEO do Grupo Assaf. Graduado em Sistema da Informação com MBA Executivo. Possui 20 certificações e mais de 15 anos de experiência nacional e internacional em projetos de grande porte; transição e transformação de TI

146

Contextualização Histórica e Criação da ANPD Com o advento da Lei Geral de Proteção de Dados tornou-se necessária a concepção de um ente capaz de atuar fiscalizando a adesão à lei e que, também, tivesse como principais competências zelar pela proteção dos dados pessoais, editar normas e procedimentos, deliberar sobre a interpretação da referida lei e aplicar sanções às empresas infratoras. De início, este órgão havia sido concebido pela Lei Geral de Proteção de Dados (Lei nº 13.709/18), todavia, sua criação não obedeceu ao processo legislativo necessário e, para evitar nulidades, os artigos que dele tratavam, foram vetados.

Desta forma, a criação da ANPD deveria se dar através de lei específia e de iniciativa privativa da Presidência da República, obedecendo o disposto nos artigos 37, inciso XIX e 61, §1º, alínea “e”, ambos da Constituição Federal do Brasil. Por esta razão, em dezembro de 2018 foi editada a MP n.º 869/18, de iniciativa da Presidência da República, a qual foi posteriormente convertida na Lei n.º 13.853/19 que já se encontra em vigor.

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

147

DA ANPD E DO CONSELHO NACIONAL DE PROTEÇÃO DE DADOS PESSOAIS E DA PRIVACIDADE

Maria Inês Costa Assaf e Fabio Henrique Assaf Domingues

Ainda que a Lei Geral tenha previsão de entrar em vigor em agosto de 2020, a concepção da Autoridade Nacional de Proteção de Dados e de seus órgãos integrantes se tornou necessária em razão da necessidade de elaboração de diretrizes da aplicação da lei por estes órgãos.

Estrutura da ANPD A ANPD será composta por um Conselho Diretor, o Conselho Nacional de Proteção de Dados e da Privacidade, cuja estrutura e atribuições possuem uma sessão própria no capítulo da referida Lei, destinado à autoridade, corregedoria, ouvidoria, órgão de assessoramento jurídico, bem como unidades administrativas e unidades necessárias à aplicação da lei. O Conselho Diretor da Autoridade Nacional de Proteção de Dados, órgão máximo de direção da ANPD, será composto por cinco diretores, cujos membros serão escolhidos pelo Presidente da República e por ele nomeados após aprovação do Senado. Seus mandatos terão duração de quatro anos e poderão ser considerados vagos ou desocupados em caso de renúncia, demissão após prévio procedimento administrativo ou em caso de condenação judicial “transitada em julgado”. Neste último caso, o legislador optou por deixar a locução destacada expressa na lei, evitando deixar a interpretação a cargo das Cortes Superiores.

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

148

DA ANPD E DO CONSELHO NACIONAL DE PROTEÇÃO DE DADOS PESSOAIS E DA PRIVACIDADE

Maria Inês Costa Assaf e Fabio Henrique Assaf Domingues

Conselho Nacional de Proteção de Dados e da Privacidade O Conselho Nacional de Proteção de Dados e da Privacidade, reitere-se, órgão integrante da Autoridade Nacional de Proteção de Dados, será composto por vinte e três representantes de diversos setores da sociedade. Sua composição multisetorial se justifica pela natureza de suas competências, como veremos mais adiante. Vejamos a composição do Conselho Nacional: Cinco representantes do Poder Executivo federal; Um representante do Senado Federal; Um representante da Câmara dos Deputados; Um representante do Conselho Nacional de Justiça; Um representante do Conselho Nacional do Ministério Público; Um representante do Comitê Gestor da Internet no Brasil; 3 representantes de entidades da sociedade civil com atuação relacionada a proteção de dados pessoais; 3 representantes de instituições tecnológicas e de inovação;

científicas,

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

149

DA ANPD E DO CONSELHO NACIONAL DE PROTEÇÃO DE DADOS PESSOAIS E DA PRIVACIDADE

Maria Inês Costa Assaf e Fabio Henrique Assaf Domingues

3 representantes de confederações sindicais representativas das categorias econômicas do setor produtivo; Dois representantes de entidades representativas do setor empresarial relacionado à área de tratamento de dados pessoais; e Dois representantes de entidades representativas do setor laboral.

Ao avaliar as competências do Conselho Nacional de Proteção de dados e da Privacidade, encontramos a justificativa para sua composição multifacetada conforme explanado acima. Vejamos, de acordo com o artigo 58 – A da LGPD, suas atribuições: propor diretrizes estratégicas e fornecer subsídios para a elaboração da Política Nacional de Proteção de Dados Pessoais e da Privacidade e para a atuação da ANPD; elaborar relatórios anuais de avaliação da execução das ações da Política Nacional de Proteção de Dados Pessoais e da Privacidade; sugerir ações a serem realizadas pela ANPD; elaborar estudos e realizar debates e audiências públicas sobre a proteção de dados pessoais e da privacidade; e disseminar o conhecimento sobre a proteção de dados pessoais e da privacidade à população. COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

150

DA ANPD E DO CONSELHO NACIONAL DE PROTEÇÃO DE DADOS PESSOAIS E DA PRIVACIDADE

Maria Inês Costa Assaf e Fabio Henrique Assaf Domingues

Independência e Autonomia da ANPD A autonomia técnica da ANPD está expressamente prevista no artigo 55-B da Lei, ocorre que a sua criação como “órgão da administração federal vinculada à Presidência da república” parecer pôr em xeque a letra da lei. Acredita-se que a composição do Conselho Nacional de Proteção de dados e da Privacidade, formado por representantes de diversos setores da sociedade, possa refrear alguma possível ingerência da Presidência da República na atuação da ANPD. O fato de ter sido concebida como órgão vinculado à Presidência da República, e não como uma Secretaria ou Ministério, a torna dependente desta para seus custos ordinários, sem necessidade de verbas apartadas para seus órgãos integrantes. Vejamos a composição do Conselho Nacional:

Competências da ANPD O artigo 55-J da Lei traz vinte e quatro incisos que tratam das competências e definem a atividade essencial da ANPD. O presente estudo não busca discutir cada um deles, mesmo porque muitos deles são bastante objetivos, tampouco compilar longo texto da lei, o que tornaria o trabalho extenuante e pouco produtivo.

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

151

DA ANPD E DO CONSELHO NACIONAL DE PROTEÇÃO DE DADOS PESSOAIS E DA PRIVACIDADE

Maria Inês Costa Assaf e Fabio Henrique Assaf Domingues

Por outro lado, a relação abaixo também não se presta a resumir vinte e quatro comandos da lei mas, apenas identificar algumas competências que parecem ilustrar a essência da autoridade nacional, vejamos: Zelar pela proteção dos dados pessoais; Elaborar diretrizes; Fiscalizar e aplicar sanções; Disseminar a lei; Editar regulamentos e procedimentos; Ouvir agentes e a sociedade em matérias relevantes; Prestar contas de suas atividades, planejamento, arrecadação e receitas; Celebrar compromissos com agentes de tratamento para eliminar irregularidades, incerteza jurídica, ou situação contenciosa no âmbito de processos administrativos. Decidir sobre a interpretação da LGPD, inclusive sobre casos omissos; Requisitar informações às empresas que realizam tratamento de dados; Implementar mecanismos para o registro reclamações e Comunicar às autoridades competentes as infrações penais que tiver conhecimento. COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

de

152

DA ANPD E DO CONSELHO NACIONAL DE PROTEÇÃO DE DADOS PESSOAIS E DA PRIVACIDADE

Maria Inês Costa Assaf e Fabio Henrique Assaf Domingues

Se os incisos do artigo 55-J da Lei trazem a “o quê” ANPD faz, seus parágrafos trazem “a forma” de atuação da mesma, conforme vemos: Deverá ser observado o princípio da intervenção mínima; A edição de regulamentos e normas deverá ser precedida de consultas e audiências públicas e análises de impacto regulatório; Deverá ocorrer coordenação entre a ANPD e órgãos e entidades responsáveis pela regulação de setores específicos da atividade econômica e governamental, tendo por objetivo eficiência e funcionamento adequado dos setores regulados (ANPD + Agências Reguladoras, como veremos adiante); Esta coordenação será possível através manutenção de um fórum permanente comunicação;

da de

Deverá ser observado o zelo pela preservação do segredo empresarial e o sigilo de informações e As análises e tomadas de providências em relação às reclamações efetuadas por titulares contra o controlador poderão ocorrer de forma padronizada e agregada.

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

153

DA ANPD E DO CONSELHO NACIONAL DE PROTEÇÃO DE DADOS PESSOAIS E DA PRIVACIDADE

Maria Inês Costa Assaf e Fabio Henrique Assaf Domingues

Uma vez definida o que é a Autoridade Nacional de Proteção de Dados, sua criação, estrutura, atividade, independência e forma de atuação, se faz necessário serem esclarecidos alguns pontos para melhor compreensão deste importante órgão que será considerado soberano no que tange a proteção de dados pessoais no Brasil.

A ANPD é uma agencia reguladora? Como vimos, a Autoridade Nacional de Proteção de Dados é um órgão federal que deverá editar e fiscalizar as normas e procedimentos sobre a proteção e tratamento de dados pessoais no Brasil e terá poderes regulatório, fiscalizatório, sancionatório e consultivo. Afora ao fato de poder vir a se tornar uma autarquia e ser um ente também destinado ao controle, pouca similaridade guarda com as agências reguladoras.

Afinal o que é uma agência reguladora? Agências reguladoras fazem parte de um grupo especial de autarquias cujo objetivo institucional consiste na função de controle de pessoas privadas incumbidas da prestação de serviços públicos, bem como na função de intervenção estatal no domínio econômico, quando necessário para evitar abusos por pessoas de direito privado. Elas foram criadas a partir do Plano Nacional de Desestatização em 1988. COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

154

DA ANPD E DO CONSELHO NACIONAL DE PROTEÇÃO DE DADOS PESSOAIS E DA PRIVACIDADE

Maria Inês Costa Assaf e Fabio Henrique Assaf Domingues

1988[3]. Enquanto as agências reguladoras têm por objetivo institucional fiscalizar, regulamentar e controlar a oferta de produtos e serviços dentro de determinada atividade econômica, a ANPD não tem limitação quanto ao serviço ou atividade; ela busca proteger os dados pessoais, regulando todas as atividades – econômicas ou não – os dados pessoais e, consequentemente, seu tratamento não está limitado à uma atividade, serviço ou órgão. Com efeito, no atual estágio das relações sociais e econômicas, é quase impossível imaginar uma atividade ou serviço que não esteja coadunado ao tratamento de dados pessoais. Importante também ressaltar que a ANPD não se limita a regular, fiscalizar, controlar e punir, como poderemos observar nos vinte e quatro incisos do artigo 55-J da LGPD os quais tratam também do fomento à atividade de tratamento de dados-, mas, igualmente, orientar, editar regulamentos e procedimentos, arrecadar e aplicar receitas, dentre outras tantas atividades.

[3] O Plano Nacional de Desestatização, PND, criado pela Lei 8.031/1990, objetivou transferir para  a iniciativa privada atividades exercidas pelo Estado consideradas dispendiosas e indevidas, contudo, para evitar desvios de objetivo pelas pessoas de direito privado foi criada espécie de autarquia, a qual convencionou-se chamar de Agência Reguladora, cuja função típica seria o “controle da prestação dos serviços públicos e o exercício de atividades econômicas, bem como a própria atuação das pessoas privadas que passaram a executá-lo.” COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

155

DA ANPD E DO CONSELHO NACIONAL DE PROTEÇÃO DE DADOS PESSOAIS E DA PRIVACIDADE

Maria Inês Costa Assaf e Fabio Henrique Assaf Domingues

Haverá conflito de competências entre a ANPD e as Agências Reguladoras? Em razão da existência de tantas agências reguladoras atuantes, cumpridoras de seu papel e especialmente tão presentes no cotidiano do brasileiro, a saber, PROCON, ANATEL, ANAC, é de se perguntar de que forma estas agencias atuariam em casos conflito com a Autoridade Nacional de Proteção de Dados. O artigo 55-K da LGPD pretende eliminar dúvidas e estabelecer a competência da ANPD no que concerne à fiscalização, apuração de irregularidades de aplicação de sanções. Vejamos: Artigo 55-K. A aplicação das sanções previstas nesta Lei compete exclusivamente à ANPD, e suas competências prevalecerão, no que se refere à proteção de dados pessoais, sobre as competências correlatas de outras entidades ou órgãos da administração pública. Parágrafo único. A ANPD articulará sua atuação com outros órgãos e entidades com competências sancionatórias e normativas afetas ao tema de proteção de dados pessoais e será o órgão central de interpretação desta Lei e do estabelecimento de normas e diretrizes para a sua implementação. (g.n.)

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

156

DA ANPD E DO CONSELHO NACIONAL DE PROTEÇÃO DE DADOS PESSOAIS E DA PRIVACIDADE

Maria Inês Costa Assaf e Fabio Henrique Assaf Domingues

O parágrafo único acima reproduzido deve ser analisado sistematicamente com os parágrafos do artigo 55-J. Enquanto lá podemos observar a expressão “coordenação” entre a ANPD e os órgãos e entidades responsáveis pela regulação de setores específicos da atividade econômica e governamental tendo por objetivo eficiência e funcionamento adequado dos setores regulados, aqui observamos a expressão derivada de “articulação”, ou seja, prevê-se ambiente harmônico que objetiva a integração de vários setores da sociedade. Vem corroborar o quanto acima expressado, a disposição do parágrafo 4º do artigo 55-J da LGPD, o qual estabelece: Artigo 55-J. [...] § 4º A ANPD manterá fórum permanente de comunicação, inclusive por meio de cooperação técnica, com órgãos e entidades da administração pública responsáveis pela regulação de setores específicos da atividade econômica e governamental, a fim de facilitar as competências regulatória, fiscalizatória e punitiva da ANPD. (g.n.)

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

157

DA ANPD E DO CONSELHO NACIONAL DE PROTEÇÃO DE DADOS PESSOAIS E DA PRIVACIDADE

Maria Inês Costa Assaf e Fabio Henrique Assaf Domingues

E o Comitê Gestor da Internet? Quais suas atribuições? Embora possa parecer que há similaridade ou convergência de atribuições entre as duas entidades, pode-se observar que suas responsabilidades, competências e atividades são distintas. O Comitê Gestor da Internet – CGI, é um órgão criado pelo Decreto n.º 4.829/2003, que, em seu artigo 1º constam nove incisos que definem as suas atribuições, a saber: o estabelecimento de diretrizes estratégicas relacionadas ao uso e desenvolvimento da Internet no Brasil; o estabelecimento de diretrizes para a administração do registro de nomes de domínio usando e de alocação de endereços na internet (IPs); a promoção de estudos e padrões técnicos para a segurança das redes e serviços de Internet; a recomendação de procedimentos, normas e padrões técnicos operacionais para a Internet no Brasil; e a promoção de programas de pesquisa e desenvolvimento relacionados à Internet, incluindo indicadores e estatísticas, estimulando sua disseminação em todo território nacional. COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

158

DA ANPD E DO CONSELHO NACIONAL DE PROTEÇÃO DE DADOS PESSOAIS E DA PRIVACIDADE

Maria Inês Costa Assaf e Fabio Henrique Assaf Domingues

Como vimos, as atribuições da ANPD estão definidas no artigo 55-J da LGPD, estando, sobretudo, relacionados à proteção de dados pessoais em qualquer ambiente. O CGI, portanto, define as regras de um ambiente onde há tratamento de dados pessoais, já a ANPD regula o tratamento destes mesmos dados em todo e qualquer ambiente.

Decreto n 10.046, de 9 de outubro de 2019 O Decreto n.º 10.046/19, publicado em 10 de outubro de 2019, dispõe sobre a governança no compartilhamento de dados no âmbito da administração pública federal e institui o Cadastro Base do Cidadão e o Comitê Central de Governança de Dados. A LGPD regula essencialmente a atuação de empresas privadas e órgãos públicos no que tange aos dados pessoais e aos dados pessoais sensíveis; já o referido decreto pretende regular o compartilhamento e a governança de dados denominados biométricos, biográficos, cadastrais e os atributos genéticos entre os órgãos da administração pública federal, criando, inclusive, uma classificação gradativa para este compartilhamento, inclusos, em sua redação, os termos “amplo, restrito e especifico”.

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

159

DA ANPD E DO CONSELHO NACIONAL DE PROTEÇÃO DE DADOS PESSOAIS E DA PRIVACIDADE

Maria Inês Costa Assaf e Fabio Henrique Assaf Domingues

O artigo 3º do supramencionado Decreto assinala, por sua vez, que a LGPD será observada em todos seus termos. Aqui não se pretende traçar um paralelo entre as duas normas, mas, única e tão somente, assinalar que o decreto em referência traz em si a criação do Comitê Central de Governança de Dados, órgão que deverá regrar o também recém concebido Cadastro Base do Cidadão. As atribuições do CCGD estão previstas em doze incisos do artigo 21 do Decreto n.º 10.049/2019, os quais tratam especificamente da atuação da Administração Pública Federal na governança e compartilhamento de dados pessoais, o que, aparentemente, poderia ser regulado pela ANPD. Todavia, a regulamentação através de norma específica denota o esforço para criar um ambiente transparente e harmônico no tratamento de dados pessoais pelo Brasil.

Como outras autoridades têm atuado pelo mundo[4] Apesar de o assunto ter ganhado força com o advento do Regulamento Geral Europeu, implementado em 25 de maio de 2018, não foi a partir de então que o assunto passou a ser regulado, na realidade o mesmo veio substituir a Diretiva de Proteção de Dados Pessoais de 1995 e muitos países já regulavam esparsamente o tratamento de dados pessoais.

[4] Sobre as autoridades Nacionais de Proteção de Dados acesse o site da DPA Fonte: https://ec.europa.eu/justice/article-29/structure/dataprotection-authorities/index_en.htm. Acesso em 13 de janeiro de 2020 COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

160

DA ANPD E DO CONSELHO NACIONAL DE PROTEÇÃO DE DADOS PESSOAIS E DA PRIVACIDADE

Maria Inês Costa Assaf e Fabio Henrique Assaf Domingues

O Regulamento Europeu de Proteção de Dados pretendeu unificar o quadro entre os países membros da Comunidade Européia no que tange ao compartilhamento transnacional de dados pessoais e inclusive criou um organismo supranacional independente cujo objetivo é contribuir para a aplicação coerente de regras em matéria de proteção de dados da União Européia e promover a cooperação entre as autoridades de proteção de dados dos países membros. De fato, muitos países ao redor do mundo não apenas possuíam legislação esparsa sobre a proteção de dados, mas também possuíam organismos com atribuições similares às autoridades nacionais, todavia, foi a partir do GDPR que os dados coletados passaram a ser unificados, divulgados e estudados efetivamente, com isso algumas considerações podem ser feitas:

[4] Sobre as autoridades Nacionais de Proteção de Dados acesse o site da DPA Fonte: https://ec.europa.eu/justice/article-29/structure/dataprotection-authorities/index_en.htm. Acesso em 13 de janeiro de 2020. COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

161

DA ANPD E DO CONSELHO NACIONAL DE PROTEÇÃO DE DADOS PESSOAIS E DA PRIVACIDADE

Maria Inês Costa Assaf e Fabio Henrique Assaf Domingues

De acordo com o Comitê Europeu de Proteção de Dados[5], European Commision e com o infográfico elaborado pela Associação Internacional de Profissionais de Privacidade[6] International Association of Privacy Professionals (IAPP), no primeiro mês de vigência do GDPR, foram mais de 10.000 reclamações, as quais aumentaram para 60.000 nos seis meses seguintes, todas essas reclamações foram apresentadas por pessoas que se sentiram lesadas em seus direitos, a maioria delas eram relacionadas ao telemarketing, e-mails promocionais e vigilância por vídeo, Em seus respectivos sites, podemos verificar que em maio de 2018, as autoridades de proteção de dados dos países membros da União Europeia iniciaram 255 processos de apuração de irregularidades e várias penalidades foram aplicadas, as multas foram encaminhadas para diferentes tipos de empresas e portes.

[5] Sobre o Comitê Europeu de Proteção de Dados acesse o site Acesso em 07 de dezembro de 2019. [6] Para mais dados acesse o infográfico no site https://ec.europa.eu/commission/sites/beta-political/files/infographicgdpr_in_numbers_1.pdf.. Acesso em 13 de janeiro de 2020.

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

162

DA ANPD E DO CONSELHO NACIONAL DE PROTEÇÃO DE DADOS PESSOAIS E DA PRIVACIDADE

Maria Inês Costa Assaf e Fabio Henrique Assaf Domingues

Ao final destacamos alguns sites de autoridades de nacionais pelo mundo e apenas a título exemplificativo cito as autoridades do Reino Unido[7], bastante atuante com índices de autuações e multas e autoridade de Portugal[8], a qual possui um viés muito mais consultivo e orientativo.

CONCLUSÃO Certamente o assunto traz mais reflexões, principalmente por tratarmos de órgãos que ainda se encontram em fase de implementação e em razão de tão recentes alterações legislativas apresentadas. O objetivo deste estudo é apresentar os principais aspectos e justamente iniciar as discussões a respeito da atuação, competências e atividade a recém-criada Agência Nacional de Proteção de Dados.

[7] Site da Autoridade Nacional de Proteção de Dados do Reino Unido: https://ico.org.uk/action-weve-taken/enforcement/? facet_type=&facet_sector=&facet_date=&date_from=&date_to= Acesso em 07 de dezembro de 2019. [8] Site da Autoridade Nacional de Proteção de Dados de Portugal: https://www.cnpd.pt/bin/cnpd/acnpd.htm Acesso em 07 de dezembro de 2019 COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

163

DA ANPD E DO CONSELHO NACIONAL DE PROTEÇÃO DE DADOS PESSOAIS E DA PRIVACIDADE

Maria Inês Costa Assaf e Fabio Henrique Assaf Domingues

REFERÊNCIAS CARVALHO FILHO, José dos Santos. Manual de Direito Administrativo, 17ª ed, Ed. Lumen Iuris, Rio de Janeiro, 2007.   BRASIL, Lei nº 13.709, de 14 de agosto de 2018. Fonte: http://www.planalto.gov.br/ccivil_03/_ato20152018/2018/lei/L13709.htm. Acesso em 07 de dezembro de 2019.   BRASIL. Constituição da República Federativa do Brasil. Fonte: http://www.planalto.gov.br/ccivil_03/constituicao/constituicao .htm. Acesso em 07 de dezembro de 2019.   BRASIL. Lei nº 13.853, de 8 de julho de 2019. Fonte: http://www.planalto.gov.br/ccivil_03/_Ato20192022/2019/Lei/L13853.htm#art1. Acesso em 07 de dezembro de 2019   BRASIL. Decreto nº 4.829, de 3 de setembro de 2003. Fonte: http://www.planalto.gov.br/ccivil_03/decreto/2003/d4829.htm. Acesso em 13 de janeiro de 2020.   BRASIL. Decretoº 10.046, de 9 de outubro 2019. Fonte: http://www.in.gov.br/web/dou/-/decreto-n-10.046-de-9-deoutubro-de-2019-221056841. Acesso em 07 de dezembro de 2019.

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS

164

DA ANPD E DO CONSELHO NACIONAL DE PROTEÇÃO DE DADOS PESSOAIS E DA PRIVACIDADE

Maria Inês Costa Assaf e Fabio Henrique Assaf Domingues

OBRA COLETIVA

Marcel Brasil

Fernanda Lopes

Andréia Santos

Jorge Alves Dias

Jane Kaunert

Cristina Hang

Letícia Lefevre

Viviane Malanga

Sandra Regina

Adriana de Carvalho

Carlos H. Bergonso

Maria Inês Assaf

Fabio Henrique Assaf

Paulo Purkyt

Regiane Martins

COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS