Proteção de dados: Revisão da lei de privacidade e segurança
O conceito e proteção da privacidade não é uma inovação no Brasil. A privacidade, a vida privada, a honra e a imagem das pessoas foram consideradas invioláveis e também direitos fundamentais pela Constituição Federal de 1988 (Constituição Federal do Brasil).
Após muitos anos de discussões legislativas, em 2018 foi promulgada a Lei Geral de Proteção de Dados do Brasil (Lei nº 13.709 / 2018 (LGPD)). Esta Lei é considerada a mais importante lei de proteção de dados em nossa jurisdição e representa um grande avanço e um passo importante para o Brasil, para garantir a proteção das pessoas, definir limites para o processamento de dados para as empresas e viabilizar a expansão da economia digital brasileira.
O LGPD entrou em vigor em setembro de 2020, durante a pandemia covid-19 e após uma corrida legislativa. No final de 2020, foi constituída a entidade reguladora e publicada a sua agenda regulatória, especificando os temas para discussão e as datas em que cada um será tratado.
Os direitos previstos no artigo 5º da Constituição Federal brasileira são classificados como direitos fundamentais. Conforme descrito acima, a privacidade é considerada um direito fundamental, mas a proteção de dados não está incluída nesta lista, embora haja uma iniciativa legislativa — uma proposta de emenda constitucional — para inserir a proteção de dados como um direito constitucional fundamental (PEC nº 17/19 ) que está atualmente em votação na Câmara dos Representantes.
O ano em revisão
A pandemia covid-19 continuou a enfatizar o crescimento exponencial da tecnologia na vida diária das pessoas, nas atividades das empresas, nas funções governamentais e na luta contra o coronavírus. Outros desafios relacionados à privacidade surgiram, visto que o status de vacinação e a temperatura corporal são considerados dados pessoais de saúde confidenciais. A tecnologia continua sendo uma importante aliada na prática da medicina, no home office, na educação online e nos relacionamentos como um todo.
No Brasil, levando em consideração o contexto de eficácia da LGPD e com as empresas correndo para se adequar às disposições da Lei, a Autoridade Nacional de Proteção de Dados (ANPD ou Autoridade) tomou forma e está atuando de forma efetiva e com um primeiro plano de conscientização e formação agenda.
No início de 2021, a ANPD publicou a Portaria nº 11/2021, tornando pública sua agenda regulatória para o biênio 2021–2022, que inclui as principais questões de proteção de dados, como LGPD para pequenas e médias empresas, direitos dos titulares dos dados , violações de dados e transferências internacionais. Em cumprimento à pauta publicada, em março de 2021 a ANPD publicou a Portaria nº 1, com o regimento interno da Autoridade, delineando toda a sua estrutura organizacional para o cumprimento de suas atribuições legais, e suas atividades e os principais itens que serão analisados a seguir meses.
Em fevereiro de 2021, a ANPD deu mais um passo importante na publicação de explicações e requisitos de notificação de violações de dados em seu site, esclarecendo o que constitui uma violação de dados, o que deve ser comunicado à ANPD e em quais situações comunicar as violações aos titulares dos dados. A página da web também inclui um modelo do formulário de comunicação.
Em maio de 2021, a ANPD deu seguimento à publicação de dois importantes e robustos documentos que nortearão a atuação da Autoridade e de empresas públicas e privadas no tratamento de dados pessoais, a saber: o Guia de Orientação sobre Definições de Agentes de Processamento e Oficial de Proteção de Dados ; e a Norma de Execução, que trata da fiscalização e aplicação de sanções administrativas impostas pela Autoridade.
O primeiro documento considera os conceitos de agentes de processamento de dados pessoais (controlador e processador) e o oficial de proteção de dados (DPO). A diretriz pretende estabelecer diretrizes não vinculantes, desenvolvendo temas como definições jurídicas, respectivos regimes de responsabilidade, casos e exemplos concretos e perguntas frequentes. A versão publicada está sujeita a contribuições da sociedade civil (via e-mail) e o guia será atualizado periodicamente.
A Norma de Execução publicada visa regular a aplicação do artigo 52.º e seguintes da LGPD, onde estão previstas as sanções administrativas, que entrou em vigor em agosto de 2021 ao abrigo da Lei n.º 14.058 / 2020. O normativo também está sendo submetido a consulta pública, que destaca o mecanismo de fiscalização que a ANPD pretende adotar, com ações de monitoramento, orientação e prevenção, mas sem deixar de proceder à aplicação de sanções mais severas, nos casos necessários.
Com a maior parte das disposições da LGPD em vigor, bem como com a entrada em vigor das sanções administrativas, existem alguns desenvolvimentos que merecem destaque, conforme a seguir se destaca. Considerando o contexto brasileiro de privacidade e proteção de dados, a expectativa é que a ANPD atue cada vez mais publicando regulamentações, conduzindo investigações e aplicando sanções administrativas, com o aumento exponencial do número de casos envolvendo privacidade na esfera administrativa e judicial.
No que diz respeito ao âmbito interno das organizações, observamos adaptações cada vez mais estruturadas ao LGPD, com preocupações envolvendo a privacidade desde a conceção, acordos de proteção de dados e adoção de medidas robustas de segurança da informação.
Quadro regulamentar
Legislação e padrões de proteção de dados e privacidade
A Constituição Federal Brasileira estabelece a inviolabilidade da privacidade, da vida privada, da honra e da imagem de seu povo como direitos fundamentais. Adicionalmente, é assegurado o direito à indenização pelos danos materiais ou morais decorrentes de sua violação.
Além disso, o Brasil possui um marco regulatório civil para o uso da internet: Lei nº 12.965 / 2014 (a Lei Brasileira da Internet), que estabelece princípios, garantias, direitos e obrigações para o uso da internet no Brasil. O Decreto 8.771, de 11 de maio de 2016 estabelece procedimentos relativos à retenção e proteção de dados pelos provedores de conexão e aplicativos, e aponta transparência e medidas de fiscalização quanto aos dados pessoais e comunicações privadas.
O Brasil promulgou a LGPD, que prevê o tratamento de dados pessoais, inclusive em meio digital, por pessoa física ou jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e privacidade e livre desenvolvimento do personalidade da pessoa natural.
O LGPD contém as principais definições relacionadas à proteção de dados, como:
a. dados pessoais: informações sobre uma pessoa física identificada ou identificável;
b. dados pessoais sensíveis: dados pessoais relativos à origem racial ou étnica, crença religiosa, opinião política, filiação sindical ou religiosa, filosófica ou política, dados relativos à saúde ou vida sexual, dados genéticos ou biométricos, em relação a uma pessoa singular;
c. Titular dos dados: a pessoa singular a quem se referem os dados pessoais objeto do tratamento;
d. controlador: pessoa física ou jurídica, de direito público ou privado, que tem competência para tomar as decisões relativas ao tratamento de dados pessoais; e
e. Processador: pessoa física ou jurídica, de direito público ou privado, que trata os dados pessoais em nome do responsável pelo tratamento.
Além disso, existem outras leis setoriais relacionadas à privacidade e proteção de dados pessoais, incluindo, mas não se restringindo a:
a. Lei nº 8.078 / 1990 (Código de Defesa do Consumidor), que estabelece os princípios da proteção de dados nas relações de consumo;
b. Lei nº 9.472 / 1997 (Lei das Telecomunicações), que garante medidas relativas à privacidade e proteção de dados pessoais dos usuários de serviços de telecomunicações;
c. Lei nº 10.406 / 2002 (Código Civil), que confere a inviolabilidade da vida privada da pessoa física; e
d. Lei nº 12.414 / 2011 (Lei do Registro de Crédito Positivo), que é responsável pela formação e consulta de bases de dados com dados de histórico de crédito, de pessoas físicas ou jurídicas.
A Autoridade foi criada pela Medida Provisória nº 869/18 (posteriormente convertida na Lei nº 13.853 / 2019) e entrou em funcionamento com a nomeação do seu Conselho de Administração em 5 de novembro de 2020. Nenhuma deliberação foi emitida até à data, mas a ANPD tem agido no sentido de regulamentar todas as matérias estabelecidas na agenda regulatória deste semestre (ou seja, deste semestre).
Em junho de 2021, a Autoridade realizou reuniões técnicas com especialistas para discutir a melhor forma de regulamentar as avaliações de impacto da proteção de dados.
A Autoridade publicou recentemente um projeto de normas de execução que pretende adotar e vai realizar uma audiência pública para obter o contributo da sociedade civil e de especialistas na matéria. Relaciona-se com a aplicação de sanções administrativas.
À medida que a agenda regulatória é cumprida, as normas e resoluções elaboradas pela Autoridade são agregadas ao marco regulatório brasileiro.
Obrigações gerais para manipuladores de dados
De acordo com a LGPD, agentes de processamento têm o dever de processar dados pessoais para fins legítimos, específicos, explícitos e informados para o titular dos dados. Além disso, o tratamento deve ser compatível com a finalidade comunicada ao titular dos dados e limitado ao mínimo necessário para atingir seus objetivos. Outras funções prendem-se com a garantia da facilidade de consulta dos titulares dos dados sobre o tratamento, com informação clara e precisa, para além de garantir a exatidão, clareza, pertinência e atualização dos dados pessoais tratados. Além disso, os agentes de processamento devem utilizar medidas técnicas e administrativas capazes de proteger os dados pessoais de acessos não autorizados e situações acidentais ou ilícitas e devem adotar medidas para prevenir a ocorrência de danos devido ao tratamento de dados pessoais.
Os agentes de processamento são obrigados a ter uma das seguintes bases jurídicas para que o processamento seja legal:
a. consentimento do titular dos dados;
b. cumprimento de uma obrigação legal ou regulatória por parte do controlador;
c. o processamento e o uso compartilhado dos dados devem ser necessários para a execução das políticas públicas previstas em leis ou regulamentos;
d. a realização de estudos por entidades de investigação, garantindo, sempre que possível, o anonimato dos dados pessoais;
e. deve ser quando necessário para a execução de um contrato ou procedimentos preliminares relacionados com um contrato do qual o titular dos dados seja parte, a pedido do titular dos dados;
f. exercício regular de direitos em procedimentos judiciais, administrativos ou arbitrais;
g. proteção da vida ou segurança física do titular dos dados ou de terceiros;
h. proteção da saúde, em procedimento realizado por profissionais de saúde ou por entidades de saúde;
i. é necessário atender aos legítimos interesses do controlador ou de terceiros;
j. proteção de crédito; e
k. garantir a prevenção de fraudes e a segurança do titular dos dados, nos processos de identificação e autenticação de registo em sistemas electrónicos.
Para além dos deveres gerais impostos aos manipuladores de dados acima descritos, podem ser criadas novas regras sobre as bases jurídicas. De acordo com sua agenda regulatória, a ANPD emitirá o Guia de Boas Práticas até o segundo semestre de 2022, orientando o público sobre as diversas hipóteses de aplicação da LGPD, incluindo, mas não se restringindo às bases jurídicas descritas no art.
Gostou do artigo? Deixe seu comentário, recomende e compartilhe.
Dr. Adriano Hermida Maia (LinkedIn)
Advogado e sócio do escritório Hermida Maia, Docente, especialista em Crimes Digitais, Pós-Graduado em Processo Civil, Direito do Trabalho e Processo do Trabalho, MBA em Contabilidade & Direito Tributário com ênfase em risco fiscal.
Visite nosso site: https://hermidamaia.adv.br