A proteção de dados pessoais tornou-se pauta nas empresas em razão do atual cenário pandêmico. Com a necessidade de distanciamento social, as instituições foram compelidas a reorganizar e disponibilizar aos seus funcionários a possibilidade do trabalho em forma remota.
Entretanto, com essa readequação no ambiente de trabalho, as empresas, sem prejuízo das medidas adotadas anteriormente, tiveram que redobrar as condutas de compliance e segurança da informação.
Nesta linha, em setembro de 2020, entrou em vigência a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/18), publicada em 15 de agosto de 2018. Tal lei confere proteção material e processual ao direito fundamental à privacidade, elencando a sistemática normativa que regulamenta o tratamento dos dados pessoais. Contudo, antes de adentrarmos no mérito do artigo far-se-á necessário enfatizar alguns conceitos elencados pela LGPD.
Preliminarmente, é importante esclarecer que a expressão “dados pessoais” utilizada ao longo da redação da norma e do presente artigo refere-se a toda informação relacionada a pessoa natural (pessoa física) identificada ou identificável. Esses ainda podem ser dados sensíveis, isto é, que contém informações acerca da saúde ou da vida sexual, da origem racial ou étnica, da convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, caráter genético ou biométrico; ou dados anonimizados, comumente utilizados para impedir a identificação do seu titular com as informações disponíveis, mediante a utilização de técnicas razoáveis e disponíveis na ocasião do tratamento.
Por sua vez, o tratamento desses dados consiste em “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”[1].
Enfatiza-se, ainda, que a norma elenca os agentes responsáveis pelo tratamento de dados, quais sejam, o Controlador e o Operador, e estabelece a divisão de funções entre ambos os sujeitos. Além disso, o diploma dispõe também de uma terceira figura alheia ao tratamento de dados, o Encarregado.
Por esse ângulo, o Controlador é o agente responsável pela tomada de decisões referentes ao tratamento de dados pessoais, bem como pelo estabelecimento de diretrizes e meios que serão utilizados para tanto[2]. Com efeito, cabe a ele definir os contornos da atividade a ser desempenhada pelos demais agentes, e é sobre ele que a LGPD impõe o seu maior peso jurídico.[3]
Já o Operador é aquele que realiza o efetivo tratamento de dados em estrita observância aos comandos emanados pelo Controlador. Sua função é, portanto, limitada, ao passo que não poderá tratar os dados senão em virtude das determinações do controlador ou de previsão legal.[4]
Por seu turno, o Encarregado é a pessoa indicada pelos agentes de tratamento para exercer um canal de comunicação com titulares e a Autoridade Nacional de Proteção de Dados -ANPD. Nomeia-se comumente como o Data Protection Officer[5] ou DPO, figura que detém um nível de conhecimento especializado em todo o ordenamento jurídico que se aplica à proteção de dados pessoais. Atua ainda como responsável por auxiliar a empresa a adaptar seus processos para estruturar um programa de conformidade com foco em maior segurança das informações, além disso aceita reclamações, presta esclarecimentos, adota providências, orienta funcionários a respeito das práticas a serem tomadas em relação à proteção de dados.
Para mais, cumpre esclarecer que o descumprimento da referida norma atribui a responsabilidade objetiva àqueles que detém o dever de cautela dos dados. Nesse sentido, por ser uma Lei que se encontra em vigência a menos de um ano, a LGDP ainda não postula ao certo qual é a natureza da responsabilidade do Controlador e Operador, assim há considerações doutrinárias para ambos os tipos de responsabilidade, quais sejam, subjetiva e objetiva.
Entretanto, a posição majoritária alinha que a aplicabilidade da responsabilidade é objetiva, quando feita uma analogia com o Código de Defesa do Consumidor. Isto porque, o artigo 45 prevê que as hipóteses de violação do direito do titular no âmbito das relações de consumo permanecem sujeitas às regras de responsabilidade previstas na legislação pertinente. Enquanto, o artigo 43 também se assemelha muito à redação disposta no CDC em seu art. 12, §3º. De tal forma, sabe-se que as relações de consumo são regidas pela regra da responsabilidade civil objetiva, assim, pela semelhança entre os dispositivos pode-se compreender pela objetividade da responsabilidade frente ao tratamento de dados pessoais.
Dito isso, o que se verifica pela simples comparação dos artigos ora supracitados é que ambos os ordenamentos utilizam a mesma didática para apontar a responsabilidade dos agentes, expressando as hipóteses de excludentes do dever de indenização, de forma que os causadores do dano “só não serão responsáveis quando” se enquadrarem em situações específicas previstas no art. 43 da LGPD.
Para tanto, pode-se entender que em consonância com a legislação consumerista, a LGPD intenta em apenas minimizar os riscos próprios da atividade, prevendo as hipóteses em que os agentes, em exercício regular do direito, não poderiam ser responsabilizados por eventuais danos gerados pela atividade (MENDES e DONEDA, 2018, p. 473).
Há o que se falar também de responsabilidade no que concerne à sua solidariedade entre os Agentes de Tratamento. Nesse contexto, a própria legislação vigente prevê as hipóteses em que responderá solidariamente o Controlador e o Operador, ou todos os agentes que exercerem como Controladores.
Art. 42. § 1º A fim de assegurar a efetiva indenização ao titular dos dados:
I – o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador se equipara ao controlador, salvo nos casos de exclusão previstos no art. 43 desta Lei;
II – os controladores que estiverem diretamente envolvidos no tratamento do qual decorreram danos ao titular dos dados respondem solidariamente, salvo nos casos de exclusão previstos no art. 43 desta Lei.
Contudo, em regra geral, pode-se entender que a LGPD afasta a responsabilidade solidária entre esses Agentes, a medida em que dispõe diretrizes específicas ao Controlador e Operador, ou seja, esses colaboradores deverão atuar dentro de suas respectivas funções. Desse modo, não há que se imputar o mesmo tratamento de responsabilidade em conjunto com os Agentes por um determinado fato.
Superadas as atribuições quanto à natureza jurídica da responsabilidade civil frente a LGPD é fato incontroverso que independente de qual formato de responsabilidade seja aplicada, o agente que causar dano a outrem, em razão do exercício de atividade de tratamento de dados pessoais, por inobservância das normas administrativas regulamentares expedidas pela Autoridade Nacional de Proteção de Dados[6], será obrigado a arcar com a reparação de tais danos.[7] Nesse contexto, a ANPD irá não só estabelecer regras, mas, também, aplicar as sanções decorrentes.
Nesse cenário, a ANPD poderá aplicar sanções em caso de violação da lei, por meio de procedimentos administrativos, elencados no Capítulo VIII, Seção I “Das Sanções Administrativas”, sendo estes: (i) advertência com prazo correção (ii) multa até 2% do faturamento limite (iii) multa diária: incidirá enquanto o problema verificado não for corrigido (iv) publicização da infrações (v) bloqueio e/ou eliminação dos dados pessoais (vi) eliminação dos dados pessoais a que se refere a infração (vii) suspensão parcial do funcionamento do banco de dado ou do exercício da atividade e por fim, (viii) proibição parcial ou total do exercício de atividades. Ainda, poderá apoiar-se nos parâmetros e critérios para aplicação dessas sanções, elencadas no § 1º do artigo 52.
É importante destacar, no entanto, que ao contrário do que muitos pensam, a real aplicação da LGPD enfrenta um grande desafio no Brasil, haja visto a ausência de conscientização da população em relação à cultura da proteção de dados. Tal problemática se sobressai ao passo que é imprescindível que os titulares dos dados tenham cautela ao fornecer informações pessoais, enquanto as empresas se empenham no desenvolvimento de metodologias para também conscientizar seus gestores e colaboradores a respeito da Lei e suas responsabilidades.
Nessa lógica, no que se refere à implementação de uma cultura de proteção de dados, algumas medidas são essenciais às empresas, dentre essas, a observância dos princípios elencados pela referida norma. Dado que os princípios no ordenamento jurídico funcionam como base e fundamento para a interpretação e o desenvolvimento normativo. Constante ao entendimento, explicita Geraldo Ataliba que:
“…os princípios são a chave e essência de todo o direito. Não há direito sem princípios. As simples regras jurídicas de nada valem se não estiverem apoiadas em princípios sólidos.”[8]
Assim sendo, em primeiro plano, expõe-se o princípio da finalidade, que visa atribuir um desígnio específico para o tratamento de dados pessoais, devendo ser informado ao titular o propósito da utilização de seus dados. Aliado a isso, surge o princípio da adequação, assegurando a compatibilidade do tratamento dos dados pessoais com a finalidade para qual eles foram coletados.
Por sua vez, as empresas não só visando o bom andamento normativo, mas também financeiro, devem observar o princípio da necessidade, que se concretiza ao coletar somente os dados necessários e essenciais para se alcançar a finalidade pretendida.
Para mais, deve-se assegurar o princípio da transparência, isto é, remeter aos titulares dos dados, informações claras e precisas, por meio de uma comunicação transparente entre empresa e cliente, a fim de criar-se uma relação de confiança. Outrossim, compete enfatizar o princípio da segurança, essencial, para que a utilização de medidas técnicas seja usadas a fim de evitar situações de insegurança. Ademais, alinhado à segurança, as empresas devem investir também, no princípio da prevenção, isto é, na observância da necessidade da adoção de medidas para prevenir a ocorrência de danos aos titulares dos dados pessoais.
Ainda, é importante mencionar que é através do princípio do livre acesso que os titulares têm acesso a todas as informações provenientes em relação aos dados que foram divulgados, sendo possível garantir a exatidão das informações e as possíveis atualizações. Ainda, garante que o tratamento dos dados não terá finalidade discriminatória, abusiva ou ilícita. Por fim, respeitando o princípio da prestação de contas, as empresas para se adequarem a LGPD devem buscar meios disponíveis para demonstrar a adoção de medidas para mitigação dos riscos e cumprimento das normas de privacidade e proteção de dados.
Superadas as adequações principiológicas, destaca-se também que existem outras medidas de segurança e prevenção da tratativa de dados que podem ser incorporadas no meio empresarial, a fim de contribuir com o cumprimento da obrigação de proteção de dados pessoais pelos agentes de tratamento e, por consequência, reduzir os riscos para os titulares que disponibilizam seus dados.
Como exemplo, tem-se a utilização da técnica de pseudo anonimização dos dados, isto é, atribuir códigos para relacionar aos dados pessoais do titular, tal prática visa garantir proteção à personalidade humana por meio do desfazimento de qualquer tipo de vínculo capaz de associar, direta ou indiretamente, um dado ao seu respectivo titular. Em outras palavras, a pseudo anonimização consiste num mecanismo de disfarce da identidade, substituindo-se um atributo por outro[9].
Além disso, com a vigência da lei é de cunho imprescindível que as empresas reforcem sua Política de Compliance, ou seja, que estabeleçam diretrizes e normas capazes de direcionar a conduta interna. Trata-se de um conjunto de processos práticos os quais devam ser seguidos por todos os colaboradores e, ainda, estabeleçam as possíveis responsabilidades àqueles que descumprirem tais regimentos.
Para isso, é importante que a empresa conte com um bom serviço de tecnologia da informação, para que todas as necessidades informáticas sejam elas infra estruturais ou sistêmicas, como o uso de e-mails, descarte de documentos eletrônicos, investimento em áreas remotas, treinamentos internos e externos, dentre outros, sejam atendidos.
Importante também mencionar que uma empresa deverá ter uma alta gerência para atribuir as obrigações e responsabilidades de cada colaborador, e que invista em um suporte jurídico eficiente, com o intuito de revisão e adequação de documentos burocráticos, para que então a constante adequação à norma seja possível. Outrossim, devem pautar-se em bases legais para o devido tratamento dos dados, de forma a exercer o exercício regular de direitos, cumprindo as obrigações legais ou regulatórias.
De acordo com o estudioso Sérgio Antônio Pohlmann, “Processos de Segurança nunca terminam, porque a proteção de ativos deve seguir, e adequar-se às novas realidades.”[10] Diante disso, é clara a percepção de que uma empresa deverá também, estar sempre atenta às novidades, atualizações e necessidades do mercado, e se preparar para isso, para que então esteja sempre em conformidade com a segurança das informações de seus colaboradores e clientes.
Reforce-se, como bem pontuado por Patrícia Peck Pinheiro, para se atender aos requisitos da LGPD exigirá da empresa uma adequação dos processos de governança corporativa, com a implementação de programas consistentes, sendo necessário, portanto, um investimento em procedimentos internos e externos para que mecanismos de controle sejam exercidos. [11]
Com essa premissa, para obterem respaldo da Lei, devem gerir de forma minuciosa não somente dados virtuais e aqueles inseridos em plataformas de gestão, como também documentos confeccionados que circulam internamente.
A título de exemplificação, algumas medidas essenciais em conformidade com a Lei 13.709/2018 serão necessárias, como: (i) due diligence, ou seja, investigação prévia para levantar dados pessoais; (ii) governança de trabalho dada pela Criação de regras de boas práticas e de governança que estabeleçam procedimentos, normas de segurança, ações educativas e mitigação de riscos no tratamento de dados pessoais; e (iii) plano de Comunicação – Incidente de Segurança – comunicação aos órgãos fiscalizatórios e à imprensa sobre incidente de segurança que acarrete risco ou dano.
Diante de todo exposto, pode-se concluir que a vigência da LGPD é um grande avanço para as relações não só jurídicas, mas, também, comerciais em nosso país, ao passo que a Lei possibilita atribuir responsabilidade a quem realmente lhe compete e em casos de violação do cumprimento legal, são atribuídas às devidas sanções administrativas, com exigência de ressarcimento e reparação do dano causado , trazendo, por si, maior segurança jurídica não só ao titular dos dados, mas também aos agentes controladores.[12]
Destarte, impende salientar que consoante as inovações da Lei, tem-se a reafirmação do princípio constitucional da dignidade da pessoa humana. Isso porque, quando as empresas obtêm para si o controle dos dados pessoais, principalmente dos dados sensíveis, agora legalmente regulamentado, o titular dos dados poderá exercer seu direito de evitar que suas informações sejam utilizadas de maneira incorreta ou desnecessária, inferindo-lhe qualquer dano ou prejuízo ao nortear o limite de atuação de controladores e operadores.
Esse relevante aspecto refere-se, portanto, à garantia das necessidades vitais de cada indivíduo, ou seja, um valor intrínseco como um todo. Uma vez que o princípio da dignidade é um dos fundamentos do Estado Democrático de Direito, nos termos do artigo 1º, III da Constituição Federal, sendo fundamento basilar da República. Nesse contexto, explica Ana Paula Barcelos:
“A dignidade humana pode ser descrita como um fenômeno cuja existência é anterior e externa à ordem jurídica, havendo sido por ela incorporado. De forma bastante geral, trata-se da ideia que reconhece aos seres humanos um status diferenciado na natureza, um valor intrínseco e a titularidade de direitos independentemente de atribuição por qualquer ordem jurídica”[13]
Com isso, associar-se à prática de ações regulatórias é essencial às empresas, para o alcance e conformidade dos dados de seus clientes e colaboradores. Para tanto, é fundamental observar todas as exigências da norma e, estar sempre atento às necessidades e imposições de cada instituição, para que assim, a Lei Geral de Proteção de Dados seja utilizada da forma acertada.
Vale ressaltar, também, que proteger os danos seria uma forma de tutela da dignidade da pessoa humana, a fim de evitar exposição e violação dos seus direitos básicos. Sendo assim, constata-se o impacto multidisciplinar advindo das inovações tecnológicas e jurídicas.
Aléxia Oliveira, Beatriz Gabrich, Victória Rocco | Estagiárias Acadêmicas
(31) 3261-8083
[1] Lei Geral de Proteção de Dados, art. 5, inciso X
[2] TEPEDINO, Gustavo; TERRA, Aline de Miranda; GUEDES, Gisela Sampaio da Cruz. Fundamentos do Direito Civil – Volume 4: Responsabilidade Civil. 1ª Edição. Rio de Janeiro: Forense, 2020. pg. 258
[3] MALDONADO, Viviane Nóbrega; BLUM, Renato Opice. LGPD: Lei Geral de Proteção de Dados comentada. São Paulo: Revista dos Tribunais, 2019, p.76
[4]BRUNO, Marcos Gomes da Silva. Capítulo VI – Dos Agentes de Tratamento de Dados Pessoais In: MALDONADO, Viviane Nóbrega; BLUM, Renato Opice. LGPD: Lei Geral de Proteção de Dados comentada. São Paulo: Revista dos Tribunais, 2019, p. 314
[5] MALDONADO, Viviane Nóbrega; BLUM, Renato Opice. LGPD: Lei Geral de Proteção de Dados comentada. São Paulo: Revista dos Tribunais, 2019, p.81-83
[6] A Autoridade Nacional de Proteção de Dados ou “ANPD” é o órgão fiscalizador, responsável por estipular padrões de serviços e produtos que os agentes de tratamento devem seguir, bem com, educar e disseminar conhecimentos sobre a LGPD e medidas de proteção de dados, elaborar ainda, estudos sobre práticas nacionais e internacionais de proteção de dados pessoais e privacidade. E em caso de descumprimento de suas emissões normativas, será responsável pela aplicabilidade das sanções. (Lei Geral de Proteção de Dados, art. 55-A ao 55-L)
[7]Lei Geral de Proteção de Dados, art. 42 “O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo”.
[8] Geraldo ATALIBA, “Mudança da Constituição”, RDP 86/181 (1988).
[9]MACHADO, Diego; DONEDA, Danilo. Proteção de dados pessoais e criptografia: tecnologias criptográficas entre anonimização e pseudonimização de dados. Revista dos Tribunais. Vol. 998. Caderno Especial. p. 99-128. São Paulo: Ed. RT, dezembro 2018 Disponível em: https://www.academia.edu/38168713/Prote%C3%A7%C3%A3o_de_dados_pessoais_e_criptografia_tecnologias_criptogr%C3%A1ficas_entre_anonimiza%C3%A7%C3%A3o_e_pseudonimiza%C3%A7%C3%A3o_de_dados Acesso em: 07/05/2021.
[10] Pohlmann, Sérgio Antônio. LGPD Ninja, Entendendo e Implementando a Lei Geral de Proteção de Dados nas empresas, Editora Fross, 2019, página 91
[11] PINHEIRO, Patrícia Peck. Proteção de Dados Pessoais, Saraiva, página 63, 2ª edição, 2020
[12] CASTELLS, Manuel. A sociedade em rede. A era da informação: economia, sociedade e cultura. São Paulo: Paz e Terra, 1999.
[13] BARCELLOS, Ana Paula de. Curso de Direito Constitucional. 2ª ed. Rio de Janeiro. Forense, 2019