A proteção de dados pessoais é, sem dúvidas, um dos temas jurídicos mais instigantes e mencionados da atualidade. A Lei nº 13.709/2018, conhecida como Lei Geral de Proteção de Dados (LGPD), entrou em vigor na data de 18/09/2020, configurando um marco legal que regulamenta, exclusivamente, a proteção de dados pessoais e as respectivas formas de tratamento dessas informações no Brasil.
Mas afinal, o que é dado pessoal? Denomina-se dado pessoal toda e qualquer informação que possa identificar ou possibilitar a identificação de uma pessoa, tais como nome, CPF, localização, e-mail, profissão, etc. Já o dado pessoal sensível é aquele que pode ensejar a discriminação de uma pessoa. Tem-se como exemplos, os dados de origem racial, étnica, convicção religiosa e opinião política. Tais dados requerem uma proteção ainda maior.
Insta ressaltar que o processo legislativo de criação da LGPD foi desencadeado a partir de uma consulta pública, realizada em 2010. Nos anos seguintes, o tema proteção de dados ganhou força e reconhecimento mundial, com o escândalo revelado por Edward Snowden, das atividades de monitoramento de e-mails de governantes de diversos países, realizadas pelos Estados Unidos, inclusive do Brasil. Assim, em 2015 foi realizada nova consulta pública com apresentação de anteprojeto, sendo considerada a base para projeto de lei sobre proteção de dados pessoais. [1] Nesse contexto, as mudanças sociais, bem como o escândalo das espionagens realizadas pelos EUA, elucidaram a importância do desenvolvimento de políticas e normativas que de fato garantissem efetiva proteção dos dados pessoais, dando ensejo à Lei nº 13.709/2018.
A Lei Geral de Proteção de Dados modifica, significativamente, a forma como as pessoas físicas e jurídicas realizam o tratamento de dados pessoais. No Brasil, até a entrada em vigor da referenciada norma, as empresas utilizavam os dados pessoais de forma indiscriminada, coletando, utilizado e compartilhando as informações para finalidades ilimitadas, sem proteção significativa e o devido conhecimento dos titulares.
Nada obstante, a informação no século XXI, especificamente, as informações pessoais, foi transformada em elemento de valor, altamente cobiçado pelas empresas. Assim, tendo em vista o momento em que a sociedade passa por um processo de virtualização, no qual as informações são disseminadas para milhões de pessoas em fração de segundos, a LGPD veio para regulamentar e limitar as relações entre os agentes de tratamento e titulares dos dados pessoais, garantindo às partes segurança jurídica.
A propósito, para melhor entendimento das disposições legais, a definição de tratamento de dados revela-se essencial. Entende-se como tratamento, todo e qualquer tipo de manipulação de dados pessoais, isto é, qualquer verbo que antecede a palavra “dados”, configura forma de tratamento (usar, armazenar, compartilhar, etc). O simples cadastro do cliente, assim como o envio de e-mails marketing são consideradas formas de tratamento de dados pessoais.
Nesse sentido, todo aquele que pratica qualquer dessas ações, seja pessoa física ou jurídica, deve-se ater às determinações da Lei Geral de Proteção de Dados. Valendo lembrar que a Lei de Dados aplica-se a toda e qualquer pessoa que realiza o tratamento de dados pessoais afetando tanto as grandes corporações, como empresas de tecnologia, construtoras, redes de varejo, quanto comércios de pequeno porte, como imobiliárias, padarias, lojas e farmácias.
Ademais, com o intuito de garantir aos titulares de dados maior controle sobre as suas informações pessoais, a partir da restrição da atuação daqueles que, até o momento, utilizavam as informações dos seus clientes sem nenhuma limitação, a LGPD determinou que as empresas poderão realizar o tratamento de dados pessoais, desde que haja observação das hipóteses legais que permitem a manipulação das informações, além da possibilidade de colhimento do consentimento do titular que permita o uso dos seus dados para finalidades determinadas, consoante dispõe o artigo 7º da Lei 13.709/2018 [2].
Importa ressaltar que diversas empresas iniciaram o processo de adequação à Lei Geral de Proteção de Dados, ante a iminência da entrada em vigor da normativa. Empresas como WhatsApp, Instagram, Facebook e Microsoft, atualizaram as Políticas de Privacidade e passaram a fornecer detalhes sobre o uso das informações dos seus usuários e suas respectivas finalidades, tornando-se mais transparentes ao facilitar o acesso às informações. Tais empresas agiram de forma preventiva, resguardando-se de eventuais sanções legais e perdas de usuários que valorizam aqueles que protegem os seus dados.
Ante os fatos expostos, ainda surge um questionamento: por que se adequar? A necessidade de adaptação das empresas e pessoas físicas que realizam o tratamento de dados é clara. Considerando anseios contemporâneos, as empresas que estão em conformidade com a nova normativa, além de evitar reprimendas legais, criarão verdadeira vantagem competitiva frente aos demãos atores do mercado, que em sua maioria, ainda não promoveram a devida adequação.
Adequar-se à Lei Geral de Proteção de Dados significa aumentar as oportunidades de negócios. Sabendo-se que as empresas respondem solidariamente, em caso de violação da normativa de proteção de dados vigente, aquelas que estiverem em conformidade com as disposições legais darão preferência para os parceiros que também possuem política efetiva de proteção de dados. Tal fato releva o surgimento de uma vantagem competitiva no mercado, frente às empresas que ainda não se adequaram à LGPD. Ademais, não apenas as empresas darão preferência, mas também os clientes, que cada vez mais buscam por empresas que garantam a proteção dos seus dados e sejam transparentes quanto ao seu uso.
Outro ponto significativo é a redução dos riscos. Grandes prejuízos podem incidir sobre a atividade do empresarial em caso de não adequação à nova normativa. A ausência de conformidade com à LGPD pode gerar perdas de contratos, multas com valores elevados, advertências, um número significativo de ações, condenações, redução no número de clientes, parceiros e, consequentemente, minimização do valor (credibilidade) que a empresa possui frente ao mercado. A propósito, ignorar a necessidade de adaptação pode ser, à primeira vista, uma forma de evitar custos, mas que futuramente desencadeará gastos incalculáveis. Desse modo, a atuação preventiva das empresas é essencial para evitar encargos desnecessários, decorrentes da violação das normativas de proteção de dados, tais como multa de até 2% do faturamento anual da empresa, limitada a 50 milhões de reais, por infração.
Em relação ao processo de adequação de uma empresa aos regramentos da LGPD, revela-se fundamental em um primeiro momento, obter conhecimento profundo sobre a empresa, conhecer as atividades desenvolvidas, os colabores e parceiros. Em segundo plano, deve ser feito o mapeamento dos dados pessoais tratados pela organização, isto é, desenvolver um relatório que possibilite verificar quais dados são cruciais para o desenvolvimento da atividade empresarial e quais são os dados passíveis de exclusão ou anonimização [3]. Posteriormente essencial a adaptação à normativa, com a efetiva identificação das possibilidades jurídicas que permitem o tratamento dos dados utilizados pela empresa e a realização das respectivas acomodações.
Ressalta-se que esse processo de adequação leva tempo, uma vez que trata-se de mudança de cultura organizacional, sendo de extrema importância que as empresas iniciem imediatamente a sua adequação. Apesar da entrada em vigor das penalidades administrativas ter sido relegada para 2021, a imediata vigência da LGPD já assegura proteção aos titulares dos dados e, por consequência, possibilidade concreta e iminente de condenações judiciais àqueles que negligenciarem os seus preceitos.
A evolução digital vivenciada pela sociedade contemporânea além de implicar alterações legislativas, requer mudanças de comportamento. A propósito, empresas e pessoas valorizam mais aqueles que estão acompanhando as transformações e necessidades sociais. Dessa forma, a não adequação da conduta empresarial às normativas de proteção de dados, afetarão significativamente o desenvolvimento econômico das empresas.
Estão à frente aqueles que observam e aplicam as disposições sobre proteção de dados, visto que consumidores e empresas, principalmente aquelas voltadas para o desenvolvimento tecnológico, darão preferência e valor para os parceiros que efetivamente realizam a proteção dos dados pessoais dos seus clientes. Com efeito, a mudança de cultura resta fundamental.
Dessarte, tem-se que a adaptação à Lei Geral de Proteção de Dados além de gerar vantagem competitiva pela criação de ambiente de conformidade, constituirá verdadeiro requisito básico para o desenvolvimento de qualquer atividade empresarial, haja vista que o risco envolvido com o descumprimento da normativa é de tal monta que pode estar diretamente relacionado com a ruína do negócio.
[1] Disponível em: https://www.camara.leg.br/noticias/449278-consulta-publica-sera-base-para-projeto-de-lei-sobre-protecao-de-dados-pessoais/
[2] Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses: I – mediante o fornecimento de consentimento pelo titular; II – para o cumprimento de obrigação legal ou regulatória pelo controlador; III – pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei; IV – para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais; V – quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados; VI – para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem); VII – para a proteção da vida ou da incolumidade física do titular ou de terceiro; VIII – para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; IX – quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou X – para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
[3] Segundo disposição legal, entende-se por anonimização a “utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.” Assim, tem-se como dado anonimizado aquele que não permite a identificação do seu titular. Nas palavras de Bruno Bioni (2019, p. 104), dado anonimizado é “aquele que é incapaz de revelar a identidade de uma pessoa”.
[5] BIONI, Bruno Ricardo. Proteção de dados pessoais: a função e os limites do consentimento. Rio de Janeiro: Forense, 2019.
[4] http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
MARIA LUIZA CALDEIRA
Saiba mais sobre a nossa atuação no campo da Privacidade de Dados Pessoais.