*Mariana Uyeda Ogawa
Em março deste ano a imprensa mundial divulgou o escândalo envolvendo as empresas Facebook e Cambridge Analytica (empresa inglesa de análise de dados). Os dados pessoais de 87 milhões de perfis de usuários do Facebook nos Estados Unidos e Reino Unido foram utilizados indevidamente pela Cambridge Analytica nas campanhas presidencial americana e Brexit (saída do Reino Unido da União Europeia), em 2016.
A União Europeia aprovou em maio o Regulamento Geral sobre a Proteção de Dados (GDPR – General Data Protection Regulation), que garante maior proteção de dados às pessoas que se encontram no seu território. A GDPR tem eficácia e aplicação extraterritorial. Todos os países que realizam transações comerciais ou ofereçam produtos e serviços à União Europeia, como o Brasil, terão que se adequar às diretrizes do GDPR.
Após oito anos de discussões no Congresso Nacional, o Presidente Michel Temer, no dia 14 de agosto sancionou a Lei Geral de Proteção de Dados Pessoais – LGPDP (Lei Federal nº 13.709), cujas regras passarão a valer em fevereiro de 2020 - período previsto para que as empresas públicas e privadas se adaptem à nova legislação.
Houve veto ao artigo da LGPDP que criava a ANPD (Autoridade Nacional de Proteção de Dados) – órgão da Administração Pública Indireta, responsável por zelar, implementar e fiscalizar o cumprimento da LGPDP - sob o argumento que o Legislativo não pode propor ao Executivo a estrutura e a composição de um novo órgão. O Presidente Temer afirmou que enviará um projeto de lei ou Medida Provisória para a criação da Autoridade. Especialistas defendem que o órgão é indispensável para a efetividade da aplicação das regras previstas na LGPDP.
A LGPDP dispõe a respeito do tratamento de dados pessoais - inclusive nos meios digitais, por pessoa natural ou jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade, privacidade e intimidade da pessoa natural.
Conforme a LGPDP, dados pessoais são aqueles relacionados à pessoa natural identificada ou identificável (o nome e apelido, endereço da residência e eletrônico, CPF, RG, telefone etc) ou os relacionados à sua origem racial ou étnica, convicção religiosa, opinião política, filiação sindical ou organização de caráter religioso, filosófico ou político e os referentes à sua vida sexual, à sua saúde, genética ou biometria (são os dados pessoais sensíveis).
O tratamento de dados pessoais envolve qualquer operação de coleta, armazenamento, processamento, reprodução, compartilhamento, distribuição dentre outras atividades, nos ambientes online e off-line e que tenham sido realizadas no território nacional.
Quando não for possível identificar a pessoa natural titular do dado pessoal (dado anonimizado), a princípio, não serão aplicadas as regras da LGPDP. O mesmo ocorre em relação ao tratamento de dados pessoais realizado por pessoa natural para fins exclusivamente privados e não econômicos ou para fins jornalísticos e artísticos, acadêmicos ou relacionados com a segurança pública, defesa nacional, segurança do Estado e atividades de investigação e repressão de infrações penais.
A LGPDP faz referência a alguns agentes relacionados ao tratamento de dados, tais como, o titular, o controlador, o operador e o encarregado.
O titular é a pessoa natural a quem se referem os dados pessoais (usuário). Controlador é a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões relacionadas ao tratamento de dados pessoais. O operador é a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador. E o encarregado é a pessoa natural, indicada pelo controlador, que atua como canal de comunicação entre o controlador e os titulares e a autoridade nacional.
O titular de dados, regra geral, deve dar previamente o seu consentimento para o tratamento de seus dados. Referido consentimento deverá ser por escrito ou por meio que demonstre a sua manifesta vontade. Deve ser concedido para uma finalidade específica e poderá ser revogado a qualquer tempo. O controlador precisa notificar e solicitar novo consentimento do titular caso utilize as informações para outra finalidade que não a aceita pelo titular.
O tratamento de dados pessoais de crianças e adolescentes deverá ser realizado em seu melhor interesse e com o consentimento específico de um dos pais ou do responsável legal.
A LGPDP elenca algumas exceções para a necessidade do prévio consentimento do titular: cumprimento de obrigação legal ou regulatória; execução de políticas públicas; exercício regular de direitos em processo judicial, administrativo ou arbitral; proteção do crédito; e quando os dados já são públicos.
O titular terá direito de saber quais dados o operador possui sobre ele e, se necessário, solicitar a revisão das informações. Assim como, solicitar a transferência, a exclusão dos seus dados ou a portabilidade para outro fornecedor ou prestador de serviço.
A transferência internacional de dados pessoais é permitida para países ou organismos internacionais que proporcionem mesmo nível de proteção.
Se a segurança dos dados pessoais for violada e acarretar risco ou dano relevante ao titular, o controlador deverá informar a autoridade nacional e o titular, indicando a natureza dos danos afetados, os riscos e as medidas adotadas para reverter ou mitigar prejuízos.
No caso de descumprimento das regras da LGPDP pelas empresas ou órgão do governo poderão ser aplicadas as seguintes penalidades pela autoridade nacional: advertência, multa de 2% do faturamento anual da pessoa jurídica limitada a R$ 50 milhões, publicização da infração e bloqueio ou eliminação dos dados pessoais.
A LGPDP ao dar ênfase à transparência nas relações digitais aumentará a proteção de privacidade dos cidadãos e, ao mesmo tempo, proporcionará mais segurança jurídica para as empresas e órgãos do governo.
Palavras chave: : Lei Geral de Proteção da Dados Pessoais (LGPDP); Autoridade Nacional de Proteção de Dados (ANPD); tratamento de dados pessoais; consentimento; penalidades.
*Mariana Uyeda Ogawa - Graduada em Direito (USP). Mestre em Direito das Relações Sociais (PUC/SP). Especialista em Direito Contratual (PUC/SP) e em Gestão Pública (University of La Verne, CA). Professora da Escola de Contas do TCMSP.
Referências
Lei n. 13.709, de 14 de Agosto de 2018. Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm>
Nova lei de proteção de dados entrará em vigor em 2020. Disponível em: https://www.valor.com.br/empresas/5736221/nova-lei-de-protecao-de-dados-pessoais-entrara-em-vigor-em-2020 Acesso em 31 agos. 2018.
Lei de Proteção de Dados será desafio para empresas e órgãos do governo. O Estado de São Paulo. São Paulo, Link p. B12, 26 agos. 2018.
Os artigos aqui publicados não refletem a opinião da Escola de Contas do TCMSP e são de inteira responsabilidade dos seus autores.