O presidente Jair Bolsonaro sancionou a Lei nº 14.010[1], de 10 de junho de 2020, que prevê a aplicação de multas e sanções previstas na Lei Geral da Proteção de Dados Pessoais somente a partir agosto de 2021, entre outras medidas.
O início da vigência da LGPD - Lei Geral de Proteção de Dados Pessoais, Lei nº 13.709 de 2018[2] tem por base o texto da Medida Provisória 959/2020[3] que prevê a data de 3 de maio de 2021. No entanto, ainda não foi votada e poderá perder a validade, ocorrendo a entrada em vigor em agosto de 2020, conforme inicialmente previsto.
Dito isto, e considerando a necessidade de adequação e implementação, reitera-se que a proteção de dados não é novidade no ordenamento jurídico brasileiro. O comando constitucional do art. 5, inciso X, que dispõe que “são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação;” inspirou uma série de dispositivos normativos de forma setorial, podendo citar o Código Civil Brasileiro, o Marco Civil da Internet, o Código de Defesa do Consumidor, sendo esparsas previsões sobre a regulamentação das relações jurídico-virtuais.
Atualmente, em nível global, cerca de 4,1 bilhões de pessoas (53,6% da população mundial)[4] utilizam a internet para comunicação, havendo celeridade da informação e urgente necessidade de proteção desses dados em circulação. Vazamento de dados, escândalos envolvendo o uso indevido de informações pessoais e o desenvolvimento de ações aliadas ao combate do COVID-19 são situações bastante atuais que tem direta ligação com o teor da lei em comento.
Diante da potencialização do volume de dados, visando a privacidade da informação, foi necessária a edição de uma legislação capaz de regulamentar o tema de forma ampla, surgindo no ordenamento brasileiro, no mesmo ano de criação do Regulamento Europeu, a Lei nº 13.709/18, conhecida como Lei Geral da Proteção de Dados Pessoais.
Tem-se, portanto, a privacidade como direito fundamental, conceituando-se a Lei nº 13.709/18 como a regulamentação do tratamento de dados pessoais, também no âmbito digital, por pessoa natural ou por pessoa jurídica, tanto de direito público como de direito privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Em outras palavras, a LGPD é uma lei geral, aplicável a todos os tipos de dados pessoais, com escopo territorial, ou seja, fundada na oferta de bens e serviços aos titulares de dados no âmbito do território nacional, ressalvados os casos em que o tratamento de dados ocorra fora do país, mas esteja relacionado com a coleta no Brasil, indivíduos brasileiros ou bens e serviços a brasileiros.
Neste viés, para adoção das práticas abrangidas pela lei deverá haver a observância de toda conceituação trazida, como, por exemplo, quem são aos agentes de tratamento de dados, quais atividades desenvolve o controlador e o operador, como é tratada a responsabilidade civil destes provedores de conteúdo de terceiros (titulares de dados), dentre outras questões de extrema relevância.
No que diz respeito à responsabilidade civil, cabe ressaltar que poderá ser solidária entre os agentes de tratamento por eventual incidente ocorrido, ressalvadas as exceções e excludentes, eis que eventual vazamento de dados ou acesso a dados por pessoas não autorizadas ensejará no dever de indenizar.
Outro ponto de suma importância, trazido pela LGPD, é a criação de uma autoridade nacional responsável pela fiscalização da aplicação da lei (Autoridade Nacional da Proteção de Dados – ANPD), que poderá aplicar sanções administrativas que vão desde advertência até a imposição de sanções pecuniária como, por exemplo, de até 2% (dois por cento) do faturamento empresa/grupo no Brasil no seu último exercício limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração[5].
Da breve exposição de alguns dos principais pontos da LGDP o questionamento, de modo geral, é o seguinte: Como e por onde começar? Inicialmente, é necessária a identificação de 1) quais são os dados, 2) como estão guardados, 3) como são captados, 4) no que serão aplicados e 5) qual a finalidade; para, a partir daí, estabelecer um Mapa de Dados que determine quais áreas forneceram informações, de modo a cada uma complementar a outra para, ao final, efetivar as medidas impostas pela legislação. Também será importante a realização de treinamentos, de forma reiterada, para conscientização dos envolvidos com boas práticas, educação continuada, revisão de contratos, compliance[6], revisão dos termos de confidencialidade, etc.
Um dos processos, no âmbito técnico, que mais vem sendo discutido é a certificação da norma ABNT NBR ISO/IEC 27701[7] que trata de gestão da privacidade da informação e também é uma extensão das normas 27001 e 27002 de segurança da informação. Referida norma foi elaborada pelo Comitê Brasileiro de Computadores Processamento de Dados (ABNT/CB-021) e a implementação não supre a integralidade dos parâmetros da LGPD, mas é um significativo balizador para segurança e confidencialidade das informações consoante padrões internacionais. A norma pode ser implementada em qualquer organização, independentemente do porte, restando cumpridos os requisitos de privacidade das principais regulamentações de proteção de dados.
A LGPD envolve uma cadeia com funcionários, fornecedores, clientes e toda e qualquer pessoa que tiver acesso a algum dado pessoal, e, estar em conformidade com estes regramentos é atribuir maior valor ao produto ou serviço ofertado, além do aumento da credibilidade frente ao avanço tecnológico. As certificações de segurança reduzem custos e presumem vantagem competitiva, eis que num futuro não tão distante será fator relevante em toda e qualquer contratação. A implementação da LGPD será um grande desafio para todos pois, desde já, muitas empresas vêm resistindo a se adaptar por diversos fatores trazidos pelo atual cenário mundial, mas é de se destacar que, considerando o início da vigência em agosto de 2020, já estamos no final do prazo de adaptação.
Vivemos um momento em que a privacidade está sendo reinventada, a informação atinge níveis incalculáveis de velocidade e com cenário de incertezas reafirmado pela crise da pandemia. Portanto, sairá na frente quem já buscou a implementação da normativa, principalmente, porque é inevitável o surgimento de lacunas e a necessidade de ajustes no início da entrada da mesma em vigor.
Nossa equipe está à disposição para dirimir quaisquer questões sobre o assunto e auxiliar nas medidas necessárias.
Pauline Pacheco Moraes
[1]* Advogada Trabalhista em Eichenberg e Lobato Advogados Associados. Graduada em Direito pela Fundação Escola Superior do Ministério Público (FMP), em 2015. Pós-graduada em Direito Civil com Ênfase em Contratos e Responsabilidade Civil pela Uniritter, em 2018. Pós-graduanda em Direito Digital pela FMP. BRASIL, ART. 20 DA LEI Nº 14.010, DE 10 DE JUNHO DE 2020. Íntegra disponível em: http://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2020/Lei/L14010.htm [2] BRASIL, LEI Nº 13.709, DE 14 DE AGOSTO DE 2018. Íntegra da LGPD disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm [3] BRASIL, ART. 4 DA MEDIDA PROVISÓRIA Nº 959, DE 29 DE ABRIL DE 2020. Íntegra disponível em: http://www.planalto.gov.br/ccivil_03/_ato2019-2022/2020/mpv/mpv959.htm [4] Informação obtida através de estudos da ONU (Organização das Nações Unidas) sobre o desenvolvimento econômico. Disponível em: https://news.un.org/pt/story/2019/11/1693711#:~:text=O%20uso%20da%20Internet%20continua,continuam%20exclu%C3%ADdas%20da%20comunica%C3%A7%C3%A3o%20online. [5] BRASIL, ART. 52 DA LEI Nº 13.709, DE 14 DE AGOSTO DE 2018. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm [6] Conceito de Compliance. Disponível em: https://pt.wikipedia.org/wiki/Compliance [7] FARIAS JR., Ariosto. Vem aí a ABNT NBR ISO/IEC 27701. Boletim ABNT, 2019. Disponível em: http://abnt.org.br/images/Docspdf/Artigos/Artigo_27701.pdf