Impacto da Lei Geral de Proteção de Dados nas Operações Cotidianas de Telecom | por Larissa Marques

A intensificação da integração econômica, bem como da política internacional, atrelada à crescente evolução tecnológica com o passar dos anos, marcada pelo avanço nos sistemas de transporte e de comunicação, tornou evidente a necessidade de proteção consistente, segura e eficaz de dados.

Os pioneiros a levantar a necessidade de discussão aprofundada sobre o tema foram os Países integrantes da União Europeia, que, então, aprovaram, em 2016, o Regulamento Geral de Proteção de Dados nº 679, denominado de General Data Protection Regulation (GDPR)[1], cujos efeitos passaram a vigorar a partir de 25 de maio do ano de 2018.

A integração económica e social resultante do funcionamento do mercado interno provocou um aumento significativo dos fluxos transfronteiriços de dados pessoais. O intercâmbio de dados entre intervenientes públicos e privados, incluindo as pessoas singulares, as associações e as empresas, intensificou-se na União Europeia. As autoridades nacionais dos Estados-Membros são chamadas, por força do direito da União, a colaborar e a trocar dados pessoais entre si, a fim de poderem desempenhar as suas funções ou executar funções por conta de uma autoridade de outro Estado-Membro.

A rápida evolução tecnológica e a globalização criaram novos desafios em matéria de proteção de dados pessoais. A recolha e a partilha de dados pessoais registaram um aumento significativo. As novas tecnologias permitem às empresas privadas e às entidades públicas a utilização de dados pessoais numa escala sem precedentes no exercício das suas atividades. As pessoas singulares disponibilizam cada vez mais as suas informações pessoais de uma forma pública e global. As novas tecnologias transformaram a economia e a vida social e deverão contribuir para facilitar a livre circulação de dados pessoais na União e a sua transferência para países terceiros e organizações internacionais, assegurando simultaneamente um elevado nível de proteção dos dados pessoais. (Grifou-se).

O mencionado Ato Legislativo, neste sentido, é considerado como um marco na evolução da estrutura de Proteção de Dados, elevando o Direito à privacidade ao status de Norma Fundamental. É o que se verifica da análise das razões preliminares do mencionado Regulamento:

A proteção das pessoas singulares relativamente ao tratamento de dados pessoais é um direito fundamental. O artigo 8º, nº 1, da Carta dos Direitos Fundamentais da União Europeia («Carta») e o artigo 16º, nº 1, do Tratado sobre o Funcionamento da União Europeia (TFUE) estabelecem que todas as pessoas têm direito à proteção dos dados de caráter pessoal que lhes digam respeito.

Os princípios e as regras em matéria de proteção das pessoas singulares relativamente ao tratamento dos seus dados pessoais deverão respeitar, independentemente da nacionalidade ou do local de residência dessas pessoas, os seus direitos e liberdades fundamentais, nomeadamente o direito à proteção dos dados pessoais. O presente regulamento tem como objetivo contribuir para a realização de um espaço de liberdade, segurança e justiça e de uma união económica, para o progresso económico e social, a consolidação e a convergência das economias a nível do mercado interno e para o bem-estar das pessoas singulares.

O tratamento dos dados pessoais deverá ser concebido para servir as pessoas. O direito à proteção de dados pessoais não é absoluto; deve ser considerado em relação à sua função na sociedade e ser equilibrado com outros direitos fundamentais, em conformidade com o princípio da proporcionalidade. O presente regulamento respeita todos os direitos fundamentais e observa as liberdades e os princípios reconhecidos na Carta, consagrados nos Tratados, nomeadamente o respeito pela vida privada e familiar, pelo domicílio e pelas comunicações, a proteção dos dados pessoais, a liberdade de pensamento, de consciência e de religião, a liberdade de expressão e de informação, a liberdade de empresa, o direito à ação e a um tribunal imparcial, e a diversidade cultural, religiosa e linguística. (Grifou-se).

O intuito primordial do regramento foi, claramente, compelir aqueles que detém dados pessoais a protegê-los de maneira efetiva, aplicando medidas apropriadas para garantir a confidencialidade, a integridade, bem como a disponibilidade dos sistemas e serviços prestados. Dessa forma, assegura-se o adequado tratamento dos dados, prevendo, inclusive, a reparação de danos e a aplicação de penalidades. Veja-se[2]:

O responsável pelo tratamento ou o subcontratante deverão reparar quaisquer danos de que alguém possa ser vítima em virtude de um tratamento que viole o presente regulamento responsável pelo tratamento. O responsável pelo tratamento ou o subcontratante pode ser exonerado da responsabilidade se provar que o facto que causou o dano não lhe é de modo algum imputável. O conceito de dano deverá ser interpretado em sentido lato à luz da jurisprudência do Tribunal de Justiça, de uma forma que reflita plenamente os objetivos do presente regulamento. Tal não prejudica os pedidos de indemnização por danos provocados pela violação de outras regras do direito da União ou dos Estados-Membros. Os tratamentos que violem o presente regulamento abrangem igualmente os que violem os atos delegados e de execução adotados nos termos do presente regulamento e o direito dos Estados-Membros que dê execução a regras do presente regulamento. Os titulares dos dados deverão ser integral e efetivamente indenizados pelos danos que tenham sofrido. Sempre que os responsáveis pelo tratamento ou os subcontratantes estiverem envolvidos no mesmo tratamento, cada um deles deverá ser responsabilizado pela totalidade dos danos causados. (…). Qualquer responsável pelo tratamento ou subcontratante que tenha pago uma indenização integral, pode posteriormente intentar uma ação de regresso contra outros responsáveis pelo tratamento ou subcontratantes envolvidos no mesmo tratamento.

A fim de reforçar a execução das regras do presente regulamento, deverão ser impostas sanções, incluindo coimas, por violação do presente regulamento, para além, ou em substituição, das medidas adequadas que venham a ser impostas pela autoridade de controlo nos termos do presente regulamento. (Grifou-se).

Percebe-se assim, que, a partir de vigência do Instituto Europeu, a visão e o modo de tratamento da questão inerente aos dados pessoais passaram a ser assuntos prioritários e de suma importância por todos os Ordenamentos Jurídicos.

 Neste sentido, promulgou-se, no Brasil, em 14 de agosto de 2018, pelo então Presidente da República, Michel Temer, a Lei Federal nº 13.709/2018[3], denominada Lei Geral de Proteção de Dados – LGPD – posteriormente alterada pela Medida Provisória 869/2018 e, sucessivamente, pela Lei Federal nº 13.853/2019[4], que, em suma, dispõe sobre a proteção de dados pessoais com a criação de Autoridade Nacional de Proteção de Dados.

Obviamente, a referida legislação, como anteriormente destacado, além de inspirada no texto Europeu, foi editada considerando a necessidade de adequação às diretrizes Internacionais sobre o tema. Isto porque, ao modificar a estrutura legal da transferência internacional de dados das empresas europeias, criou-se, com a publicação do Regulamento estrangeiro, barreiras econômicas e dificuldades de negociação, a nível global, com Países que não possuíssem Legislação apropriada sobre a temática.

Ainda que o tema “privacidade” já estivesse sido regulado pela Constituição Federal, pelo Marco Civil da Internet – Lei Federal nº 12.965/2014 – pelo próprio Código de Defesa do Consumidor- Lei Federal nº 8.078/1990, ou, ainda pela Lei Federal nº 12.527/2011, como uma garantia constitucional, a Lei Geral de Proteção de Dados inovou indubitavelmente, na medida em que apresentou maiores especificidades sobre o tema.

Com isso, a referida Legislação consolidou uma estrutura Jurídica com foco específico na proteção destes dados, criando, inclusive, Órgãos Reguladores vinculados à presidência da República exclusivamente ligados à questão, a exemplo (i) da Autoridade Nacional de Proteção de Dados – ANPD – responsável pela implementação e aplicação da LGPD e pela fiscalização do cumprimento desta em todo território Nacional; e (ii) do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade – CNPD – responsável, em suma, pela disseminação do conhecimento da proteção de dados à população e pela elaboração de estudos, sugestões e diretrizes estratégicas a serem realizadas pela ANPD.

Dividida em 10 (dez) capítulos, que explanam a sua organização, sua metodologia e seus mecanismos de controle, a Lei Geral de Proteção de Dados traz em seu texto a necessidade de observação de uma série de Princípios para as atividades de tratamento de dados, como a Boa-fé, Necessidade, Transparência, Segurança, Responsabilização, dentre outros[5].

Por outro lado, também apresenta assertivas com o fim de controlar o uso dos dados pessoais, prevendo, inclusive, da forma como verificado no Regulamento Estrangeiro, sanções para casos de descumprimento por parte de seus titulares, a exemplo do disposto no art. 53, caput e seguintes, da Lei Federal nº 13.708/2018 alterada pela Lei Federal 13.853/2019. Veja-se:

Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:  

I – Advertência, com indicação de prazo para adoção de medidas corretivas;

II – Multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;

III – Multa diária, observado o limite total a que se refere o inciso II;

IV – Publicização da infração após devidamente apurada e confirmada a sua ocorrência;

V – Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;

VI – Eliminação dos dados pessoais a que se refere a infração;

(…).

X – Suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador; (Incluído pela Lei nº 13.853, de 2019)  

XI – Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período; (Incluído pela Lei nº 13.853, de 2019) 

XII – Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.  (Grifou-se).  

Neste sentido, importante destacar que o Legislador buscou conferir um cenário de segurança e certeza no que se refere ao tratamento da matéria, apresentando, com a finalidade de minorar questionamentos, ou, dúvidas, sobre a aplicação da Lei, em seu art. 1º, seu objetivo e escopo de atuação e, nos Incisos de seu art. 5º, a definição exata das expressões utilizadas em seu texto, indicando o que são os dados pessoais, dados pessoais sensíveis, banco de dados, titular, controlador, operador, dentre outros.

Esclareça-se ainda que a Lei Federal em discussão não estende sua proteção às Pessoas Jurídicas, mas, apenas, no que se refere à circulação dos dados relativos à Pessoas Físicas.

E neste sentido, é indubitável que, para que as Empresas que coletam, ou, recebem dados pessoais possam se adaptar à nova regra, é necessário promover a elaboração de Inventário dos respectivos dados pessoais detidos, assim como indicar a sua localização e suas características para, então, criar-se uma matriz de tratamento.

Com isso, a Sociedade consegue identificar quais ações serão necessárias e para quais finalidades, procedendo-se, então, com a gestão do consentimento. Sobre esse último ponto, ressalte-se que o consentimento é uma das bases legais para tratamento, porém, não é a única, tampouco deve ser interpretada como o principal alicerce para análise de dados.

Isso, porque a Lei 13.709/2018 dispõe em seu artigo 7º, outras nove maneiras para se admitir o tratamento de dados pessoais, uma vez que não há hierarquias entre as hipóteses elencadas em lei, não havendo qualquer sobreposição entre essas, de modo que a escolha da base legal deve para o tratamento do dado pessoal deve levar em consideração, dentre outros fatores, a finalidade pretendida. 

Ocorre que a Norma Brasileira traz exigências para se admitir o consentimento como uma base legal para tratamento de dados, prevendo em seu artigo 8º a necessidade de preenchimento de requisitos legais para utilizá-lo, como a necessidade de ser fornecido por escrito, com cláusula destacada das demais, sendo vedado quaisquer vícios de consentimento. Ademais, destaca-se que o consentimento deve ser livre, informado, inequívoco e para uma finalidade específica, não sendo possível “reaproveitar” a base legal para fim diverso daquele informado ao titular. Cabe destacar que a finalidade deve ser observada também para as demais bases legais, visto tratar-se de princípio trazido legislação. Por fim, registra-se ainda que o ônus da prova, conforme artigo 8, §2º da Lei 13.709/2018, é do controlador dos dados. 

De igual forma, o embasamento no legítimo interesse também pode trazer alguns desafios, visto que, muito embora a LGPD apresente em seu art. 10 exemplos de situações que pode enquadrar-se na base legal, até o momento, não houve a regulamentação específica pela ANPD sobre os seus limites, cabendo a comprovação de sua definição nos casos em concreto. Outrossim, caso seja o legitimo interesse a base legal escolhida, preconiza a LGPD que o controlador deverá adotar medidas para garantir a transparência do tratamento de dados, podendo a Autoridade Nacional solicitar ao controlador relatório de impacto à proteção de dados pessoais. 

Dessa forma, caberá, em cada cenário, a análise de qual base legal a empresa deverá se apoiar, valendo ressaltar a possibilidade (e necessidade) de utilização das demais bases legais, a fim de se legitimar o tratamento de dados, que poderá ocorrer, também, quando (i) necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados; (ii) para o exercício regular de direitos em processo judicial, administrativo ou arbitral; (iii) para a proteção da vida ou da incolumidade física do titular ou de terceiro; (iv) para a tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias; (v) para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou (vii) para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

Além disso, pontua-se a necessidade de criação de Plano de Ação, visando verificar o investimento necessário para garantir atendimento às conformidades implementadas pela Legislação, que, basicamente, recaíram em 04 (quatro) níveis, a saber (i) técnico, no tocante a ferramentas a serem utilizadas; (ii) documental, a fim de atualizar normas, políticas e contratos; (iii) procedimental, para adequar a governança e a gestão dos dados pessoais; e (iv) cultural, com o fito de realizar treinamentos e campanhas de conscientização das equipes, dos parceiros, fornecedores e clientes.

Ao comparar a aplicação da Lei brasileira com o Regulamento Europeu, é possível identificar mais semelhanças do que divergências. Veja-se que ambas as Normas têm como escopo garantir que o uso dos dados pessoais seja realizado de forma transparente, com máxima segurança, a fim de se evitar eventuais abusos e invasões de privacidade.

Ademais, estabelecem uma distinção entre os titulares e os agentes de tratamento de dados, trazendo as delimitações de suas funções e responsabilidades, porém, com denominação distinta, uma vez que aquele que lida com os dados é chamado de “Responsável”, pela LGPD, e de “Controlador” na GDPR. Já aquele que efetivamente realiza o tratamento dos dados é chamado “Operador” na Lei Brasileira e de “Processador” no Regulamento Europeu. No entanto, ressalta-se que a função exercida é a mesma e ambos são responsáveis pela segurança e privacidade das informações, respondendo solidariamente pelo seu tratamento nas 02 (duas) Legislações.

Ademais, a possibilidade de aplicação de sanções caso haja descumprimento das regras estabelecidas é medida que se impõe em ambos os Textos de Lei, podendo variar de forma gradativa, conforme a gravidade do dano.

Na LGDP podem ser aplicadas advertências, multas, suspensões, ou, até mesmo proibição de atividades relacionadas ao tratamento de dados, de acordo com o caso, que deve ser investigado mediante a instauração do competente Processo Administrativo, sendo assegurado o contraditório e a ampla defesa.

LGPD E IMPACTOS EM ALGUMAS DAS OPERAÇÕES COTIDIANAS DO SETOR DE TELECOMUNICAÇÃO

Quanto às Empresas de Telecomunicações, frisa-se que a adequação às normas de proteção de dados se torna medida extremamente necessária, visto que a Legislação inclui órgãos fiscalizadores, a fim de regular a atividade dessas que já era, em si, altamente supervisionada, a exemplo, pela ANATEL.

Todavia, para além da adequação técnica de seu sistema interno, com a implementação da segurança da informação, relevante mencionar que ainda existem dificuldades, em especial, de própria interpretação da Legislação Brasileira/Europeia que devem ser enfrentadas.

Vejamos, por exemplo, ponto ordinário de operação do setor de telecomunicação – portabilidade de dados, em que ambas as Legislações, a GDPR, em seu artigo 20[6] e a Lei nº 13.709/2018, em seu artigo, 18, inciso V, ainda não conseguiram solucionar entraves técnicos de viabilidade de seu procedimento.

Isso porque não há a obrigação de que as empresas tenham sistemas interoperáveis, isto é, sistemas de diferentes companhias compatíveis entre si, a fim de efetivar a transferência de dados, o que torna a obrigação frágil e impossível de aplicação no mundo prático.

A Legislação brasileira, ainda, prevê a possibilidade de autoridade nacional dispor sobre a padronização dos sistemas, em seu artigo 40. Contudo, como ainda não há essa regulamentação, o direito à portabilidade concedido ao titular recai sobre a questão da viabilidade técnica de sua realização, não sabendo ao certo o que ocorrerá se houver a já mencionada incompatibilidade sistêmica.  

São diversas as peculiaridades das operações de telecomunicação que obrigam ao intérprete da lei a conjugação minuciosa de todas as diretrizes normativas do segmento.

Outra questão relevante encontra-se no próprio destinatário/titular da LGPD, que busca proteger os direitos e garantias fundamentais da pessoa natural, isto é, da pessoa física.  Observe-se que a conceituação de dado pessoal foi exposta no artigo 5º da Lei 13.719/2018:

Art. 5º Para os fins desta Lei, considera-se:

I – dado pessoal: informação relacionada a pessoa natural identificada ou identificável;

II – dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

(…)

V – titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento; (…)

Significa dizer que as operações de telecomunicação contratadas por pessoas jurídicas merecem a análise criteriosa da titularidade de seus dados envolvidos, pois, não recebem a proteção da legislação ora tratada, uma vez não são considerados dados pessoais por si só.

Merece atenção os dados dos sócios e representantes legais de uma determinada sociedade empresária, ainda que considerados públicos e passíveis de verificação mediante simples consulta às Juntas Comerciais.

Como a publicização desses dados tem por objetivo a promoção de segurança aos negócios firmados, o fornecimento para fins cadastrais, junto às empresas de TELECOM, que viabilizem a própria fruição do serviço contratado é legítimo e específico, não havendo se falar em pretensa coleta desnecessária, irregular e passível das penalidades previstas na LGPD.

Outra questão decorrente das operações cotidianas diz respeito ao tratamento dos dados pela empresa de telecomunicação – na posição legal de “controladora”, assim entendido como a utilização para finalidades interligadas à promoção e atividade da Operadora de Telefonia e da prestação dos serviços que as beneficiem. Vejamos:

Art. 10. O legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a:

I – apoio e promoção de atividades do controlador; e

II – proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos desta Lei.

Neste cenário, de relação contratual decorrente da prestação de serviços de telefonia, é lícito ao “controlador” – Empresa de Telecomunicações, promover interações com seus clientes com oferta de produtos, promoções, dentre outros pontos tidos como vantajosos, considerando a inclusão dessa frente na “legítima expectativa” elencada pela lei.

A eventual responsabilidade de uma Empresa de Telecomunicações por vazamento de dados deve ser mitigada, entre outros aspectos, se referidos dados foram tornados manifestamente públicos pelo seu titular, situação extremamente comum em que o fomento das mídias sociais ou mesmo páginas na web constitui fato inerente à vida atual.

Reforça-se ser essa a diretriz do Parlamento Escocês – que regulamenta alguns pontos do General Data Protection Regulation, norma europeia da qual deriva a Lei Geral de Proteção de Dados Pessoais.

Nessa linha, enquadra-se a disponibilização dos dados telefônicos em meios públicos pelos próprios titulares como fator que exonera qualquer responsabilidade da empresa contratada para prestação de serviços de telefonia, consoante se interpreta da disposição do art. 43, III, da LGPD, vez que eventual dano decorre da culpa exclusiva do titular ou de terceiros.

Dentro do rol de pontos de atenção apresentados neste Informativo, vale referendar os termos da Resolução 738, de 21 de dezembro de 2020, da Anatel, que expressamente conduz como de responsabilidade das prestadoras de serviço de telefonia guardar as informações acerca dos serviços prestados, inclusive dados cadastrais dos assinantes. Veja-se:

Art. 65-J. A fim de assegurar a permanente fiscalização e o acompanhamento de obrigações legais e regulatórias, as prestadoras devem manter à disposição da Anatel os dados relativos à prestação do serviço, incluindo, conforme o caso e observada a regulamentação pertinente:

I – documentos de natureza fiscal, dados cadastrais dos assinantes e dados de bilhetagem e das ligações efetuadas e recebidas, bem como data, horário, duração e valor da chamada pelo prazo mínimo de 5 (cinco) anos, nos serviços que permitam a realização de tráfego telefônico; e,

II – registros de conexão à Internet pelo prazo mínimo de 1 (um) ano nos serviços que permitam a conexão à Internet. (grifamos)

Pedidos de exclusão dos dados dos cadastros podem, dentro do prazo indicado na Resolução, infringir normas fiscalizatórias da Agência Reguladora.

Mais, imprescindível a demonstração da data do evento tido como danoso, vez que a LGPD comina obrigações e sanções e, ante a impossibilidade de sua retroação, só podem ser aplicados caso o fato arguido seja posterior à sua vigência (art.65 – 28/12/2018). 

Por todo o exposto, inconteste a imprescindibilidade de conciliação de uma adequação estrutural com a própria cultura dos envolvidos no que diz respeito à proteção de dados, com interpretação coerente da legislação, possibilitando que os benefícios implementados pela LGPD sejam experimentados por todos.

Larissa Marques | Advogada

(31) 3261-8083


[1] Disponível em: https://eur-lex.europa.eu/legal-content/PT/TXT/PDF/?uri=CELEX:32016R0679&from=EN.

[2] Disponível em: https://eur-lex.europa.eu/legal-content/PT/TXT/PDF/?uri=CELEX:32016R0679&from=EN.

[3] Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm.

[4] Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2019-2022/2019/lei/l13853.htm.

[5] Artigo 6º, caput e Incisos da Lei Federal nº 13.708/2018 alterada pela Lei Federal 13.853/2019.

[6] Disponível em: https://eur-lex.europa.eu/legal-content/PT/TXT/PDF/?uri=CELEX:32016R0679&from=EN.

COMPARTILHAR

Publicações Relacionadas

Publicações Recentes

Áreas de Atuação

PROCURANDO ALGUMA INFORMAÇÃO ESPECÍFICA?

Entre com contato conosco

|

Assine nosso boletim informativo

Tradicionalmente Moderno

Informações de contato

R. Alagoas, 1049,
4º e 5º andares – Savassi – Belo Horizonte – MG – Brasil

Av. Brigadeiro Faria Lima, 3729, 5º andar – Itaim Bibi – São Paulo – SP – Brasil

Dev by