Вы находитесь на странице: 1из 11

LEI GERAL DE PROTEÇÃO

DE DADOS PESSOAIS

PERGUNTAS E RESPOSTAS
SOBRE A NOVA REGULAMENTAÇÃO

AGOSTO DE 2018
1
A aprovação do projeto de lei de proteção de dados pessoais pelo Senado em
julho, e sua sanção pela Presidência da República na última terça-feira (14/8),
trouxe à tona o tema de proteção de dados e levantou diversas dúvidas sobre
qual será o impacto da nova legislação para o setor privado brasileiro.
Nesta edição especial, o VMCA organiza uma série de perguntas e res-
postas sobre a nova lei (LGPD ou Lei nº 13.709/2018), e trata de algumas das
consequências que ela terá para empresas, organizações da sociedade civil
e cidadãos.

DIFERENÇAS ENTRE O TEXTO APROVADO NO CONGRESSO E O TEXTO FINAL

Foram excluídos todos os artigos relativos à criação da Autoridade Nacional de Proteção de Dados. A
justificativa foi a inconstitucionalidade por vício de iniciativa. Trocando em miúdos, apesar de origi-
nário do Executivo, a inserção da autoridade no projeto foi feita pelo Congresso, o que seria proibido
por conta do conteúdo da regra – criação de cargos e de estruturas na Administração. A promessa é
de que o governo edite uma Medida Provisória que reproduza os artigos 55 a 59 do projeto.
Também foram vetadas algumas das penalidades previstas no texto aprovado no Congresso: (i)
a suspensão total ou parcial de funcionamento de banco de dados, (ii) a suspensão do tratamento
de dados objeto da infração, e (iii) a proibição completa de operação com qualquer atividade rela-
cionada ao tratamento de dados. Ainda assim, as penas mantidas são relevantes e têm o potencial
de afetar significativamente a atividade das empresas.
Finalmente, foram vetados dispositivos que diziam respeito ao tratamento de dados pessoais
pelo poder público.

1 Quem será impactado pela Lei Geral de Proteção de Dados?

O impacto da lei é para toda a população brasileira, e ela estabelece regras para
o tratamento de dados não apenas pelo setor privado, mas também pelo setor
público.
Para as organizações privadas, a LGPD se aplica a toda e qualquer entidade
que faça tratamento de dados pessoais, ou seja, que lide e manipule “informa-
ção relacionada à pessoa natural identificada ou identificável” (art. 5º, I). Ou
seja, organizações privadas atuantes em qualquer setor da econômica estão
sujeitas à lei, sejam elas grandes, médias ou pequenas, independentemente de
atuarem online ou off-line ou de fazerem parte do terceiro setor.

2 Isso quer dizer que o dado a que a lei se refere é um dado de uma pes-
soa física apenas?

Sim, e esse ponto é de extrema relevância. A LGPD afirma com clareza que seu
escopo de aplicação são as informações relacionadas a pessoas naturais já iden-
tificadas ou que possam ser identificáveis. A LGPD estabelece apenas algumas
exceções, para as quais as exigências da norma não se aplicam:

VMCA LGPD | PERGUNTAS E RESPOSTAS 1 AGOSTO DE 2018 1


►► Casos em que o tratamento é para fins estritamente particulares e não eco-
nômicos;
►► Aplicação para fins exclusivamente jornalísticos, artísticos ou acadêmicos;
►► Tratamento que tenha como único objetivo a segurança pública, a defesa
nacional, a segurança do Estado ou a investigação de infrações penais;
►► Se os dados de fato forem provenientes de fora do Brasil e tratados fora
do Brasil.

Trocando em miúdos, se o tratamento é de dados referentes a pessoas


jurídicas, as regras não se aplicam.

3 Quanto tempo tenho para adaptar as práticas da minha entidade às


exigências da lei?

Precisamente 18 meses, contados a partir do dia 14 de agosto de 2018. A LGPD


estabelece uma vacatio legis de um ano e meio, período dentro do qual os se-
tores público e privado deverão
fazer as mudanças necessárias
Prazo para entrada em vigor da lei: 18 meses
para garantir seu cumprimento.
Aplicação para os setores público e privado
Depois disso, tudo aquilo que
Aplicação a entidades do setor privado, empresas de
está disposto na legislação passa
qualquer porte e entidades da sociedade civil
a ser exigível daqueles que fazem
tratamento de dados.

4 Quais são as principais obrigações que uma entidade que faz trata-
mento de dados pessoais passará a ter?

A lei estabelece uma diferença importante entre o setor privado e o setor públi-
co no que diz respeito às exigências para o tratamento de dados. De toda forma,
ela traz princípios gerais que precisarão ser observados por todos.
O tratamento de dados de-
verá ter sempre uma finalidade PRINCÍPIOS GERAIS DO TRATAMENTO DE DADOS
legítima, devidamente informada
ao titular dos dados; será preci-
1. Finalidade
so que esse tratamento esteja
2. Adequação
adequado àquilo que foi efetiva- 3. Necessidade
mente informado ao titular e que 4. Livre Acesso
ele ocorra na medida necessária 5. Qualidade Dos Dados
para atingir essa finalidade. Além 6. Transparência
7. Segurança
disso, o titular sempre poderá ter
8. Prevenção
livre acesso aos seus dados e à
9. Não Discriminação
forma e à duração do tratamento,
10. Responsabilização e Prestação de Contas
sendo preciso garantir a qualida-
de dos dados – ou seja, garantir

VMCA LGPD | PERGUNTAS E RESPOSTAS 1 AGOSTO DE 2018 2


que as informações estejam corretas, atualizadas e adequadas à finalidade do
tratamento - e a transparência - fácil acesso a como se deu o tratamento, aten-
tando para questões relacionadas a segredo comercial. Por fim, o responsável
pelo tratamento deverá garantir a segurança dos dados, a prevenção de danos,
a não discriminação no seu uso e, evidentemente, responde pelo tratamento de
forma ampla, demonstrando ativamente o cumprimento da legislação.
Além disso, a lei determina uma obrigação geral de consentimento, ou seja,
ela exige que o titular dos dados pessoais dê o seu aval para que o tratamento
aconteça. Há exceções, como o caso em que o titular já tornou seus dados públi-
cos, e também há situações em que essa obrigação é majorada – especialmente
quando falamos dos chamados dados sensíveis.

5 Mas afinal, o que é a exigência de consentimento pelo titular? O que


é exigido pela lei para que se considere que o titular consentiu com o
tratamento?

A norma diz que o consentimento deve ser fornecido por escrito ou “por ou-
tro meio que demonstre a manifestação da vontade do titular”. É importante
notar que a lei estabelece uma outra regra, que diz expressamente que é
ônus de quem que faz o tratamento provar que o consentimento foi de fato
obtido – medida que precisará ser analisada e seguida com cuidado, por conta
do risco para o setor privado em futuras ações de indenização. Mais que isso,
a lei diz que o titular dos dados poderá, a qualquer momento, revogar o seu
consentimento – ou seja, as organizações precisarão implementar mecanismos
de monitoramento que impeçam o tratamento quando o consentimento não
é mais válido.
Relevante observar como as autoridades tratarão do assunto e qual será
o grau de exigência estipulado por elas para considerar que o consentimen-
to fornecido é suficiente para cumprir as exigências legais. A recomendação,
enquanto não há uma orientação mais clara sobre o tema, é lidar de forma
cautelosa e garantir que o titular dos dados forneça consentimento expresso,
explícito e específico.

6 O que são dados sensíveis? Existe alguma obrigação especial caso a


minha organização faça tratamento desse tipo de informação pessoal?

A lei diz que dados sensíveis tratam “sobre a origem racial ou étnica, a convic-
ção religiosa, a opinião política, a filiação a sindicato ou a organização de cará-
ter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado
genético ou biométrico, quando vinculado a uma pessoa natural” (art. 5º, II).
O que precisa ser destacado é que nem sempre há clareza a respeito da
classificação do dado como sensível. É evidente que a identificação de uma pes-
soa como negra é, para a LGPD, um dado sensível. No entanto, não é tão simples
saber o que será considerado um dado sobre sua opinião política – se a norma

VMCA LGPD | PERGUNTAS E RESPOSTAS 1 AGOSTO DE 2018 3


não está fazendo referência à filiação partidária, porque essa informação já é
pública, a que ela se direciona? Seria o conjunto de perfis que um usuário segue
em redes sociais considerados “opinião política”, que já eles podem claramente
demonstrar um viés ideológico daquela pessoa?
Para além da questão de definição do dado sensível, é preciso destacar que
o consentimento, nesse caso, tem exigências extra. Ele terá que ser específico
e destacado, e sempre fornecido para finalidade específica. Isso quer dizer que
um dado coletado para fins de publicidade direcionada, por exemplo, não pode
ser utilizado para o oferecimento de crédito – e assim por diante.
Aqui, vale ainda observar que há regras da Lei do Cadastro Positivo que
fazem referência a “informações sensíveis” e vedam expressamente seu uso. O
Superior Tribunal de Justiça (STJ) já sedimentou esse entendimento, ao afirmar
que tanto dados sensíveis, quanto dados excessivos ou incorretos, geram pos-
sibilidade de indenização. Essa decisão pode servir como primeira referência
para aplicação da nova lei de dados.
Esse tema ainda promete muitas discussões, especialmente porque a
LGPD proíbe o tratamento do dado sensível, mas nada fala a respeito do uso
das chamadas proxies. Em outras
palavras, se for possível utilizar CONSENTIMENTO E DADOS SENSÍVEIS
uma característica que não se en-
caixa na categorização proibida O consentimento deverá explicitar as finalidades do uso
da lei, mas que leva a um resul- dos dados. Além disso, para dados sensíveis, deverá ser
tado igual ao uso da informação específico.
sensível, não se sabe ao certo se
haverá proibição. Um exemplo
possível é o uso do CEP residencial para fazer alguma inferência sobre a origem
racial ou étnica de uma pessoa. Ainda não existe entendimento claro sobre esse
assunto e é um ponto que merece ser observado.

7 Minha organização já cumpre a legislação europeia – a General Data


Protection Regulation (GDPR). Devo me preocupar mesmo assim?

Se sua entidade já adota as regras da GDPR, o risco de descumprimento da lei


brasileira é muito menor. No entanto, a lei brasileira, apesar de sem qualquer
dúvida se inspirar na GDPR, não é uma cópia fiel da legislação europeia e esta-
belece algumas obrigações distintas. Vale atenção, portanto, porque a entidade
será obrigada a estar em conformidade com a legislação local e também por-
que a aplicação em concreto da lei dependerá das autoridades brasileiras – e
é possível que o entendimento dessas autoridades sobre a norma, mesmo em
dispositivos semelhantes, implique diferenças em relação à lei europeia.

VMCA LGPD | PERGUNTAS E RESPOSTAS 1 AGOSTO DE 2018 4


8 O que acontece se minha entidade se deparar com um vazamento de
dados? Quais as novas obrigações perante a lei?

Existe uma obrigação geral para que a entidade adote mecanismos de segu-
rança para o tratamento de dados e também uma exigência expressa para que
o titular dos dados e as autoridades sejam comunicados, em prazo razoável,
sobre qualquer incidente de segurança que possa causar dano (ou mesmo ris-
co de dano) às pessoas físicas. A LGPD esclarece que as autoridades poderão
determinar normas técnicas mínimas a serem seguidas sobre esse tema, assim
como, a depender da gravidade do caso, determinar a adoção de medidas con-
cretas, que incluem a ampla divulgação do incidente na mídia e a reversão ou
mitigação dos efeitos do incidente.

9 Minha entidade trabalha ou pretende trabalhar com algoritmos capa-


zes de tomar decisões automatizadas. A lei impõe alguma restrição a
esse tipo de tecnologia?

Não existe qualquer tipo de proibição ao uso de algoritmos pela LGPD. Ainda
assim, o art. 20 fala sobre as decisões tomadas unicamente por meio de au-
tomação – ou seja, sem participação de seres humanos – e estabelece que o
titular dos dados pode, sempre que desejar, requisitar uma revisão da deci-
são automatizada, revisão essa que deverá ser levada a cabo por um ser hu-
mano. Mais ainda, a entidade responsável pelo tratamento deverá esclarecer
quais os “critérios e procedimentos utilizados para a decisão automatizada”.
A norma resguarda expressamente os segredos comercial e industrial, mas
ainda assim trata-se de uma obrigação relevante e possivelmente onerosa,
que precisa de atenção. Na prática, qual será o nível de detalhamento exigido
para considerar que os esclarecimentos sobre o funcionamento do algoritmo
são suficientes?
Um outro debate que certamente surgirá diz respeito ao que deve ser
considerada uma decisão “unicamente com base em tratamento automatiza-
do” de dados. Como dito, apenas as decisões totalmente automatizadas, ou
seja, tomadas inteiramente por algoritmos, estão sujeitas a essa regra. Mas
o que acontece, então, se houver um ser humano no processo, porém sem
qualquer capacidade decisória? Essa discussão já surgiu na União Europeia,
por conta da GDPR, e deve se apresentar também por aqui. Um outro aspecto
discutido na GDPR são as exigências para se considerar que houve revisão
efetiva por um ser humano. Se o papel humano for meramente de confirmar
a decisão tomada pela máquina, sem uma análise mais profunda sobre a cor-
reção dos critérios utilizados, a exigência legal estaria cumprida? Há muitas
dúvidas sobre esse tema que só serão esclarecidas por meio da aplicação
efetiva da lei em casos concretos; é preciso acompanhar cuidadosamente os
desenvolvimentos.

VMCA LGPD | PERGUNTAS E RESPOSTAS 1 AGOSTO DE 2018 5


10 O que acontece caso uma entidade descumpra a lei? Existem sanções
que podem ser aplicadas?

Há duas consequências imediatas


do descumprimento da lei. A pri- EXCEÇÕES À REGRA GERAL DE RESPONSABILIDADE
PELO TRATAMENTO DE DADOS
meira é a obrigação de reparar o
dano. A segunda é a sanção que
Demonstração de que não foi o responsável pelo
pode ser imposta.
tratamento;
Há uma obrigação geral de
Comprovação de que o tratamento seguiu todas as
reparação de qualquer dano cau-
regras da legislação;
sado pelo tratamento de dados
Culpa exclusiva do titular dos dados ou de terceiro
pessoais, e também previsão que
pelo dano.
permite que, num caso concreto,
inverta-se o ônus da prova em fa-
vor do titular dos dados1. Essa inversão busca garantir os direitos do titular, mas
não deixa de estabelecer um ônus considerável para as entidades privadas, que
em muitas situações concretas terão que fazer prova de que não houve violação
da lei para não serem responsabilizadas – e, como se sabe, a prova negativa é,
no mais das vezes, de alta complexidade.
Nesse sentido, as defesas possíveis para que uma entidade não seja efe-
tivamente tida como responsável por uma violação são três: (i) ela precisa de-
monstrar que na verdade não realizou o tratamento de dados pessoais, (ii) ou
que o realizou de forma lícita, sem qualquer violação, (iii) ou ainda que o dano
causado decorre de culpa exclusiva do titular dos dados ou de um terceiro.
As sanções previstas na lei para seu descumprimento são de diversos graus
– e esse ponto foi objeto de veto presidencial. Da forma como consta na redação
final da LGPD, as penalidades comportam desde uma advertência com prazo
para adequação das práticas comerciais às normas, até multas expressivas que
podem chegar aos 50 milhões de reais diários. Os critérios para determinar
qual será a sanção são variados: é preciso considerar a gravidade da infração,
se houve ou não boa-fé de quem infringiu a lei, qual é a condição econômica
desse infrator, se ele está ou não reincidindo na violação, se o dano causado foi
severo, se existe algum mecanismo adotado pelo infrator para minimizar esse
dano, entre outros.

11 Se a entidade trabalha ou pretende trabalhar com dados de crianças


e adolescentes, há algum cuidado especial que precisa ser tomado?

A LGPD estabelece um tratamento diferenciado para dados pessoais de crian-


ças e adolescentes. Esses dados pessoais deverão ser tratados, sempre e em
qualquer circunstância, no melhor interesse de seus titulares. O consentimento

1. Desde que a alegação trazida seja verossímil, fique configurada a hipossuficiência do titular para
produção das provas, ou quando a produção de provas pelo titular for excessivamente onerosa.

VMCA LGPD | PERGUNTAS E RESPOSTAS 1 AGOSTO DE 2018 6


deverá ser colhido de um dos pais ou responsável legal, e, assim como no caso
de dados sensíveis, deverá ser específico e destacado. Passa a ser obrigatório
que a entidade adote todos os esforços razoáveis, consideradas as tecnologias
disponíveis, para se certificar que o consentimento foi efetivamente dado pelo
responsável.
Uma questão que provavelmente se apresentará diz respeito aos casos
em que, eventualmente, pais ou responsáveis legais não estejam atuando no
melhor interesse da criança ou adolescente. No momento, não é possível saber
se a entidade responsável pelo tratamento dos dados terá qualquer responsa-
bilidade nesse sentido – se deverá, por exemplo, identificar os casos em que
esse problema se apresente, ou ainda se deverá tomar medidas concretas caso
verifique uma dúvida desse tipo em casos específicos.
Além disso, a lei determina que as entidades não poderão exigir informa-
ções pessoais de crianças e adolescentes para além daquelas estritamente
necessárias ao oferecimento de sua atividade. Novamente, dúvidas se apresen-
tam, entre elas como determinar o que é “estritamente necessário”. Tomemos
o caso de adolescentes e redes sociais. Os mais diversos aplicativos dessa natu-
reza coletam um sem número de dados sobre seus usuários. Considerando que
a finalidade de uma rede é precisamente a interação, como definir qual dado é
necessário ao oferecimento da atividade e qual dado é acessório?

12 Há alguma preocupação específica que devo ter caso a minha entida-


de transfira dados do Brasil para outros países?

Sim. Com a aprovação da LGPD, o Brasil passa a exigir que qualquer transfe-
rência de dados pessoais para outros países ou organizações internacionais
só ocorra se esse país ou organização possuir um regime jurídico com grau de
proteção adequado. A dúvida, evidentemente, é saber o que será considerado
um grau adequado de proteção. Será tarefa das autoridades fazer essa análise
– mas não se sabe ao certo qual autoridade terá tal atribuição, tendo em vista
que os artigos que criavam a autoridade nacional foram vetados e ainda não foi
editada outra norma que supra essa lacuna.

13 O que é a figura do encarregado? Preciso contratar alguém na minha


organização para ocupar essa função?

A figura do encarregado é uma das novidades que maior impacto pode ter para
o setor privado. O encarregado será a pessoa que atuará como canal de comu-
nicação entre a entidade, os titulares de dados pessoais e as autoridades. Essa
pessoa será indicada pela entidade e deverá desde receber reclamações dos ti-
tulares, e orientações das autoridades, até orientar os funcionários da entidade
sobre as melhores práticas de tratamento de dados.
Uma dúvida que se coloca é se toda e qualquer entidade que faz tratamento
de dados deverá, necessariamente, possuir um encarregado. A lei é explícita ao

VMCA LGPD | PERGUNTAS E RESPOSTAS 1 AGOSTO DE 2018 7


afirmar que as autoridades poderão estabelecer casos de dispensa dessa figu-
ra, a depender do porte da entidade, da natureza das atividades e do volume
das operações de tratamento de
dados. Esse debate já se colo- O QUE SÃO RELATÓRIOS DE IMPACTO
cou em outras jurisdições em que À PROTEÇÃO DE DADOS PESSOAIS?

uma figura semelhante existe. Na


União Europeia, a GDPR exige a Segundo a lei, é a “documentação do controlador que
figura do data protection officer contém a descrição dos processos de tratamento de dados
(DPO), mas as condições para que pessoais que podem gerar riscos às liberdades civis e aos
uma entidade seja obrigada a ter direitos fundamentais, bem como medidas, salvaguardas e

um DPO são um pouco distintas. mecanismos de mitigação de risco”.

A figura é necessária sempre que


(i) estamos falando de uma auto-
ridade pública, ou (ii) as atividades requerem “monitoramento sistemático dos
titulares de dados” ou ainda (iii) há grande quantidade de dados sensíveis ou
relacionados a ofensas criminas sendo tratados.

14 O que são relatórios de impacto à proteção de dados pessoais? Minha


entidade deverá produzir esse tipo de relatório?

Os relatórios são documentos que esclarecem em detalhes quais são os proces-


sos de tratamento de dados que aquela entidade possui, e explicitam aqueles
“que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem
como medidas, salvaguardas e mecanismos de mitigação de risco”. Não existe
uma obrigação para que toda e qualquer entidade elabore tais relatórios, mas
a lei reserva às autoridades a prerrogativa de solicitar esse tipo de documenta-
ção. Vale observar que tais relatórios podem ser exigidos mesmo de entidades
do poder público.
Há ainda alguns requisitos mínimos que todo relatório deverá conter:

►► Descrição dos tipos de dados coletados;


►► Metodologia utilizada para coleta;
►► Metodologia para garantia de segurança das informações;
►► Análise do responsável pela tomada de decisões sobre o tratamento de
dados feito por aquela empresa sobre as salvaguardas adotadas.

Os relatórios de impacto talvez sejam uma das previsões legais que mais re-
forçam a importância de uma aplicação coesa e cautelosa da lei. Como as auto-
ridades terão a prerrogativa de solicitar informações das entidades sobre como
elas realizam seu tratamento de dados, e naturalmente emitir pareceres sobre a
adequação daquele tipo de tratamento, o grau de risco que ele representa etc.,
a parcimônia e a coerência se fazem prementes. O impacto de entendimentos
pouco robustos para os modelos de negócio podem ser significativos e podem,
em último caso, até mesmo impedir que certas inovações sejam levadas a cabo.

VMCA LGPD | PERGUNTAS E RESPOSTAS 1 AGOSTO DE 2018 8


Por outro lado, nas mãos de autoridade tecnicamente capacitada, os relatórios
têm grande potencial de auxiliar na proteção dos direitos dos titulares e, in-
clusive, de estimular práticas inovadoras que se preocupam com os direitos e
liberdades fundamentais.
Novamente, existe uma figura semelhante ao relatório de impacto na
GDPR, o chamado data protection impact assessment (DPIA). Uma vez mais, po-
rém, há diferenças importantes entre eles. A mais relevante delas é que o DPIA
é exigido pelas autoridades europeias antes mesmo de uma entidade levar a
cabo o tratamento de dados, se essa entidade tem clareza de que o tratamen-
to tem grandes chances de resultar em risco para os direitos e liberdades dos
indivíduos. ■

VMCA LGPD | PERGUNTAS E RESPOSTAS 1 AGOSTO DE 2018 9


Vinicius Marques de Carvalho Advogados
Rua Doutor Rafael de Barros, 210  9º andar  Paraíso  04003 041  São Paulo  SP  Brasil
+55 11 3939 0708  |  contato@vmca.adv.br  |  www.vmca.adv.br