“A partir da entrada em vigor da Lei Geral de Proteção de Dados (LGPD), a criação de novos contratos e termos jurídicos serão medidas indispensáveis às empresas que tratam dados pessoais, buscando evitar o ajuizamento de ações cíveis pelos titulares dos dados e graves sanções administrativas, cabendo às empresas serem ágeis para atender às obrigações legais e minimizar os riscos oriundos da legislação de proteção de dados”. - Garrastazu Advogados
O que é a Lei Geral de Proteção de Dados (LGPD) e quais são os reflexos na atividade empresarial brasileira?
A Lei nº 13.709 de 2018, além de alterar a Lei nº 12.965 de 2014 (Marco Civil da Internet), estabelece o marmo legal brasileiro de proteção e tratamento de dados de pessoas naturais. A lei passa a vigorar a partir de agosto de 2020, tendo eficácia plena em todo território nacional.
A Lei Geral de Proteção de Dados ou “LGPD” institui uma gama de obrigações e garantias para defender os direitos das pessoas relativos à intimidade, à privacidade e à personalidade, conforme previsto na Constituição Federal e leis federais como, por exemplo, o Código Civil e o Marco Civil da Internet.
A legislação traz inúmeras obrigações direcionadas às empresas e pessoas físicas que realizam o tratamento de dados de cidadãos no Brasil ou no exterior. A nova lei denomina a pessoa (física ou jurídica) que realiza operação com banco de dados de “operador” ou “controlador” (agentes de tratamento).
A lei deixa claro que somente com o consentimento expresso do titular os operadores ou controladores dos bancos de dados estarão autorizados a tratar ou compartilhar informações, sendo vedado o consentimento genérico – sem finalidade expressa – ou a obtenção da autorização mediante quaisquer subterfúgios para enganar o titular dos dados.
O consentimento para o tratamento de dados poderá ser revogado a qualquer tempo pelo titular por meio escrito ou eletrônico que demonstre a manifestação de vontade. Esta revogação de consentimento deverá ser gratuita e facilitada pelos agentes de tratamento de dados.
Quais são as hipóteses definidas na LGPD em que poderá ser realizado o tratamento de dados pessoais?
i. Mediante o fornecimento de consentimento pelo titular;
ii. Para o cumprimento de obrigação legal ou regulatória pelo controlador;
iii. Pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;
iv. Para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
v. Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
vi. Para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei de Arbitragem;
vii. Para a proteção da vida ou da incolumidade física do titular ou de terceiro;
viii. Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
ix. Quando necessário para atender aos interesses legítimos do controlador ou de terceiros, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
x. Para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
Significa dizer que somente nas situações acima arroladas a empresa poderá manejar, tratar dados pessoais, incumbindo à própria empresa provar que o consentimento foi obtido licitamente nos termos da LGPD.
A empresa deverá fornecer os dados do titular de forma fácil e clara, constando obrigatoriamente a finalidade específica, a duração, o gerenciador e seus contatos, além de outros elementos que garantam ao titular o livre acesso aos seus dados.
Ainda, a empresa deverá fornecer ao titular, caso este requeira, a confirmação da existência do tratamento dos seus dados, bem como deverá franquear o devido acesso ao solicitante. O titular dos dados poderá, ainda, requerer as seguintes medidas:
i. Correção de dados incompletos, inexatos ou desatualizados;
ii. Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta lei;
iii. Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
iv. Eliminação dos dados pessoais tratados com o consentimento do titular;
v. Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
vi. Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
vii. Revogação do consentimento;
Caso os dados requeridos pelo titular não estejam ao alcance da empresa requerida, caberá à empresa comunicar que não é o agente de tratamento dos dados e indicar, se possível, quem é o responsável pela informação; ou, poderá expor as razões que lhe impedem de atender imediatamente à solicitação do titular dos dados.
As empresas que realizam tratamento de dados poderão sofrer processos judiciais em virtude da inobservância da LGPD?
Seguramente. A empresa, ou “agente de tratamento”, como a lei define, será obrigada a reparar o dano patrimonial ou moral (individual ou coletivo) resultante da violação à legislação.
Inclusive, o operador dos dados responde solidariamente com controlador dos dados pelos danos causados no tratamento que ofende a legislação de proteção de dados. Aquele que reparar o dano ao titular tem direito de regresso contra os demais responsáveis, na medida de sua participação no evento danoso.
Quais são as hipóteses em que as empresas estão isentas de responsabilidade pelo tratamento dos dados?
(I) quando não realizaram o tratamento de dados pessoais que lhes é atribuído;
(II) quando, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou
(III) quando o dano sofrido for decorrente de culpa exclusiva do titular dos dados ou de terceiro.
Caso seja apurada a responsabilidade da empresa por descumprimento à LGPD, independente das consequências nas esferas cível e penal, a Agência Nacional de Proteção de Dados – ANPD – poderá impor as seguintes sanções administrativas:
a. Advertência, com indicação de prazo para adoção de medidas corretivas;
b. Multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
c. Multa diária, observado o limite total de R$ 50 milhões;
d. Publicização da infração após devidamente apurada e confirmada a sua ocorrência;
e. Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
f. Eliminação dos dados pessoais a que se refere a infração;
g. Suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
h. Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
i. Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Considerando as disposições da Lei Geral de Proteção de Dados (Lei nº 13.709/18), são de grande preocupação as novas obrigações impostas às empresas que armazenam qualquer espécie de informação sobre qualquer pessoa natural, exigindo condutas proativas dos empresários em geral para proteger o tratamento de dados e, por conseguinte, resguardar os direitos dos titulares desses dados conforme a legislação.
Assim, a partir da entrada em vigor da LGPD, a criação de novos contratos e termos jurídicos em conjunto com tecnologias de proteção de dados são medidas indispensáveis aos empresários para evitar o pagamento de indenizações na esfera cível por lesão ao titular dos dados, que poderá gerar um grande número de ações cíveis, bem como sanções administrativas pela autoridade pública, cabendo às empresas serem ágeis para atender às obrigações legais e minimizar os riscos oriundos da legislação de proteção de dados.
FONTES:
Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709compilado.htm/
Lei nº 12.965, de 23 de abril de 2014. “Marco Civil da Internet”. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm
Fique por dentro das nossas novidades.
Acompanhe nosso blog e nossas redes sociais.