Ursula Ribeiro de Almeida
A importância da proteção de dados pessoais aumentou à medida que a inovação tecnológica evoluiu ao longo das últimas décadas, assim como a capacidade de armazenamento e comunicação das informações.
Em 2016, a União Europeia aprimorou a sua legislação de proteção de dados pessoais ao aprovar a General Data Protection Regulation (GDPR), que é referência global no tema. Os países membros tiveram o prazo de dois anos para adequar a sua regulamentação interna, assim como as empresas sediadas no bloco – ou que tratassem dados de pessoas localizadas na União Europeia – tiveram que rever os seus processos para adequação à nova legislação.
Na esteira da tendência global de rigorosa proteção de dados pessoais, a Lei Geral de Proteção de Dados Pessoais – LGPD foi promulgada em 2018. A nova legislação impacta todos os setores empresarias, pois é inerente ao exercício da atividade econômica a coleta e tratamento de dados pessoais de funcionários, colaboradores, terceirizados, clientes e parceiros de negócio.
- A LGPD está valendo?
A LGPD entraria em vigência em agosto de 2020. Ocorre que a pandemia de Covid-19 provocou um impasse quanto ao início da vigência da lei.
O impasse foi solucionado com a definição de que as sanções administrativas serão aplicadas a partir de 1° de agosto de 2021 pela Agência Nacional de Proteção de Dados – ANPD (art. 65, inciso I-A, da Lei n° 13.709/2018, alterado pela Lei n° 14.010/2020).
O Decreto n° 10.474, de 26 de agosto de 2020, prevê a estrutura regimental e o quadro de cargos da ANPD, que é um passo importante para constituição da agência, cuja competência para regulamentar a proteção de dados pessoais é essencial para orientar diversos setores empresarias.
O Poder Executivo publicou a Medida Provisória n° 959 para prorrogar a vigência dos demais artigos da LGPD para 03/05/2021. No entanto, no último dia de prazo para votação da MP 959, em 26/08/2020, o Senado Federal decidiu rejeitar a prorrogação da vigência da LGPD. Com a sanção presidencial em 17/09, a LGPD entrou em vigor em 18/09/2020..
Ainda que as sanções administrativas sejam aplicáveis somente a partir do próximo ano, os órgãos de defesa do consumidor e o Ministério Público podem atuar na defesa do direito de proteção de dados pessoais dos consumidores, como já fizeram algumas vezes por meio de inquérito civil, ação civil pública, dentre outras medidas.
Ademais, o Plenário do Supremo Tribunal Federal – STF decidiu que o direito à proteção de dados pessoais é direito fundamental, decorrente do direito à privacidade, garantindo ampla proteção aos titulares.
2. A proteção de dados e o impacto no valor de mercado da empresa
A exigência de proteção de dados pessoais decorre dos próprios agentes econômicos. Nas operações de Fusões e Aquisições de companhias no Brasil já se inclui no due diligence a apuração da proteção de dados pessoais e se precifica (valuation) o nível de segurança, pois uma vulnerabilidade no sistema interno pode ter alto custo para correção.
Na União Europeia, mais da metade dos operadores de M&A relataram que interromperam algum processo de transação em razão de preocupação com a proteção de dados na companhia alvo. [1]
Assim, o tratamento de dados pessoais com observância à LGPD – além de evitar ou mitigar contingências futuras com a ANPD, órgãos de defesa do direito do consumidor e medidas judiciais – adiciona valor à reputação das empresas no mercado nacional na medida em que adota boas práticas que respeita a privacidade e o direito fundamental à proteção dos dados pessoais dos titulares.
3. Qual a finalidade da LGPD?
Os objetivos principais da Lei Geral de Proteção de Dados Pessoais é garantir que os dados pessoais sejam tratados com transparência e boa-fé, bem como assegurar a autodeterminação informativa dos titulares para que tenham ciência de quem tem acesso às suas informações pessoais e o seu respectivo fundamento legal.
É necessário garantir que o tratamento de dados pessoais tenha fundamento em uma das hipóteses previstas no artigo 7° da Lei:
Art. 7º O tratamento de dados pessoais somente poderá ser realizado
nas seguintes hipóteses:
I – mediante o fornecimento de consentimento pelo titular;
II – para o cumprimento de obrigação legal ou regulatória pelo
controlador;
III – pela administração pública, para o tratamento e uso compartilhado
de dados necessários à execução de políticas públicas previstas em leis
e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;
IV – para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
V – quando necessário para a execução de contrato ou de procedimentos
preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
VI – para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ;
VII – para a proteção da vida ou da incolumidade física do titular ou de
terceiro;
VIII – para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
IX – quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
X – para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
Os dados pessoais sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural – denominado dado pessoal sensível – estão sujeitos a hipóteses mais restritas de tratamento (art. 11 da LGPD).
O tratamento de dados pessoais em desconformidade com a LGPD sujeita o controlador e operador a sanções administrativas aplicadas pela Agência Nacional de Proteção de Dados Pessoais – ANPD.
A multa de até 50 milhões de reais por infração é fator de coerção mencionado de forma recorrente, porém a LGPD permite a aplicação de outras sanções que podem impedir ou dificultar sobremaneira a atividade da empresa, já que a ANPD pode bloquear o acesso aos dados ou suspender o funcionamento de banco dados pelo prazo de até 6 (seis) meses.
A experiência de 2 (dois) anos de vigência da GPDR na União Europeia demonstra que as autoridades de proteção de dados consideram a existência de política de proteção de dados comprovada e a colaboração da empresa investigada ao sopesar a sanção a ser aplicada.
A tendência é que a autoridade brasileira se balize pelo padrão europeu na análise de incidente de segurança, impondo penalidades mais severas para as empresas displicentes com a proteção de dados pessoais e, ao mesmo tempo, aplicar sanção menos rigorosa para aquelas que tenham política e ferramentas de proteção de dados, compatíveis com a sua atividade e seu porte.