As empresas devem estruturar seus sistemas internos de tratamento de dados pessoais para atender aos requisitos de segurança, às boas práticas de governança e aos princípios da LGPD e às regulamentações da ANPD
Daniel Cerveira (*)
A LGPD entrou em vigor em setembro e entre os principais setores da economia afetados está o varejo. É sabido que as empresas que não estiverem de acordo com as suas diretrizes serão passíveis de sanções administrativas, como o pagamento de multas e a suspensão da gestão de dados. Contudo, há muitos pontos a respeito da nova lei que têm sido pouco discutidos e que é importante que sejam conhecidos pelas empresas do setor.
De uma forma geral, há oito pontos importantes para que as empresas estejam em conformidade com a LGPD: nomear um Data Protection Officer (DPO); entender a atual organização e processamento de dados; encaixar cada tratamento de dados nas hipóteses legais existentes; definir um modelo ideal de gestão de dados e segurança da informação nos termos da lei; definir e implementar iniciativas para adequação legal; estabelecer as políticas de privacidade; implementar um canal de respostas a incidentes; e estabelecer um monitoramento para verificar se as regras, políticas, processos, etc, estão sendo observados na prática.
Em primeiro lugar, entretanto, não é possível que as empresas entendam a legislação e a cumpram sem entender quais são as hipóteses que permitem a coleta, acesso, utilização ou compartilhamento de informações pessoais. A LGPD permite a gestão de dados por meio do enquadramento legal em 10 bases legais, dentre elas o consentimento pelo titular é um de seus principais pilares. Embora não haja uma forma específica de se obter esse consentimento, vale as empresas se atentarem a alguns requisitos para que o ato não seja posteriormente considerado nulo.
A orientação é que a empresa faça uma adequação dos meios de obtenção do consentimento, seja por escrito em um contrato de prestação de serviço, ficha de cadastro, termo de privacidade ou digital, para ali conter todas as informações sobre o tratamento de forma clara e ostensiva. Ela deve fornecer as informações indispensáveis no caminho escolhido, no que dizem respeito à finalidade e duração do tratamento, identificação do controlador, eventual compartilhamento com terceiros e a menção aos direitos do titular. É imprescindível que seja assegurado o consentimento livre, já que uma possível assimetria de relação existente entre o controlador e o titular pode tornar o consentimento anulável.
Outra base legal para a autorização do tratamento de dados pessoais é a do “legítimo interesse”. Essa é uma hipótese mais flexível e deve ser utilizada caso não haja outra mais adequada. Aqui se incluem tratamentos que detenham uma finalidade legítima do controlador ou de terceiro considerado a partir de situações concretas, além do apoio e promoção das atividades da empresa.
Meios técnicos e administrativos
Para ser utilizado, é necessário documentar um verdadeiro estudo contendo os meios técnicos e administrativos criados ou reforçados para mitigação de riscos aos titulares e transparência no tratamento. Além disso, um teste de proporcionalidade deve ser feito, buscando balancear os direitos dos titulares e o interesse do controlador ou de terceiro.
Todos esses requisitos para a utilização do legítimo interesse devem ser utilizados quando não cabível qualquer outra base legal, nem mesmo o consentimento, não devendo ser considerado uma “carta em branco” para as empresas. Uma terceira base legal, por sua vez, consiste na autorização para tratamento de dados quando necessário para executar contratos dos quais o titular faça parte.
Compreendidas as bases legais da legislação, é preciso que as empresas também entendam quem são os atores envolvidos e o papel de cada um. Há o titular dos dados pessoais, a pessoa natural a quem se referem os dados pessoais que são objetos de tratamento, não sendo protegidos pela lei os dados referentes a pessoas jurídicas, como o nº de CNPJ, por exemplo. A LGPD se aplica a quem realiza qualquer operação com informações pessoais no Brasil, utiliza informações pessoais para a oferta ou fornecimento de bens ou serviços ou a quem coleta informações pessoais.
Já uma segunda figura é a Autoridade Nacional de Proteção de Dados (ANPD), o órgão público responsável por fiscalizar e regulamentar os critérios da LGPD. Cabe a ela aplicar as seguintes sanções administrativas para o caso de descumprimento da lei: advertência; multa de até 2% do faturamento bruto anual, limitada a R$ 50 milhões por infração; publicização; bloqueio, eliminação ou suspensão de bancos de dados; suspensão do exercício da atividade por no máximo seis meses, prorrogável por igual período; e proibição parcial ou total de atividades relacionadas.
Finalmente, em relação às empresas, respondem administrativamente o controlador e operador dos dados que, em razão do tratamento de dados pessoais, causarem dano patrimonial, moral, individual ou coletivo ao violar a lei. Além disso, poderão ser acionados judicialmente. Contudo, os agentes de tratamento não serão responsabilizados se provarem que não realizaram o tratamento de dados pessoais que lhes é atribuído; que, embora tenham realizado o tratamento, não houve violação à legislação de proteção de dados; ou que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.
Responsabilização dos agentes
Em regra, diante do dano decorrente do tratamento de dados pessoais, o operador responderá administrativamente de maneira subsidiária. Será obrigado a reparar o dano após o controlador ser acionado e ser impossibilitado de indenizar, assegurado o direito de regresso contra os demais responsáveis, na medida de sua participação no evento danoso. Mas pode ainda o operador responder de maneira solidária com o controlador, ou seja, serem acionados ao mesmo tempo pelos danos causados. Isto se o operador descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido instruções lícitas do controlador no exercício da atividade.
Caso seja imposta alguma sanção administrativa à empresa, esta pode alegar em sua defesa: gravidade das infrações e do dano; boa-fé do infrator; vantagem auferida; a não reincidência; adoção de mecanismos e procedimentos internos capazes de minimizar o dano; adoção de política de boas práticas e governança; e pronta adoção de medidas corretivas. Os agentes de tratamento responderão pelo dano ao deixarem de adotar as medidas de segurança previstas na LGPD.
Quanto ao mencionado Data Protection Officer (DPO), ele é o responsável por intermediar a comunicação da empresa com a ANPD ou com os titulares. Deve aceitar reclamações e comunicações de usuários, prestar esclarecimentos e adotar providências; receber comunicações da ANPD e adotar providências; orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
Qualquer pessoa natural ou jurídica, com conhecimento jurídico e técnico capaz de exercer as funções previstas na lei, pode exercer a função de DPO. Pode ser um empregado contratado pelo regime da CLT (Consolidação das Leis do Trabalho) ou um colaborador terceirizado. Em regra, toda empresa tem o dever de indicar um DPO, mas a ANPD poderá dispor sobre eventual dispensa de necessidade de sua indicação, considerando a natureza dos dados pessoais em tratamento, o porte da entidade ou o volume de operações que envolvam dados pessoais.
Importante que as empresas norteiem a sua atuação lembrando que a lei prevê que é dever dos agentes de tratamento adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas, perda, alteração, comunicação ou qualquer forma de tratamento irregular ou ilícito. Além disso, a empresa deve estruturar seus sistemas internos de tratamento de dados pessoais para atender aos requisitos de segurança, aos padrões de boas práticas e governança e aos princípios da LGPD e às regulamentações da ANPD.
Comunicação de incidentes
Caso ocorra um incidente de segurança na gestão dos dados que possa acarretar risco ou dano relevante aos titulares, ele deve ser comunicado à ANPD. Esta comunicação deverá ser em prazo razoável e deverá mencionar, no mínimo, a descrição da natureza dos dados pessoais afetados; as informações sobre os titulares envolvidos; a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial; os riscos relacionados ao incidente; os motivos da demora, no caso de a comunicação não ter sido imediata; e as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
Por fim, outro ponto pouco discutido trata da transferência internacional de dados pessoais. Trata-se da transferência de dados para país estrangeiro ou organismo internacional do qual o país seja membro. Essa transferência é permitida quando há consentimento específico e em destaque para a transferência. Também é possível no caso de países ou organismos internacionais que proporcionem grau de proteção de dados pessoais compatível com a LGPD. O nível de proteção do país estrangeiro ou organismo internacional será avaliado pela ANPD, considerando as normas gerais e setoriais do país de destino, a natureza dos dados, a observância dos princípios gerais e a adoção de medidas de segurança previstos na LGPD, e outras circunstâncias relevantes.
A transferência também pode ocorrer quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados, na forma de cláusulas contratuais específicas, normas corporativas globais ou selos, certificados e códigos de conduta regularmente emitidos. Outros critérios são: a definição do conteúdo de cláusulas-padrão e a verificação de cláusulas específicas, selos ou certificados serão realizadas pelo ANPD; e a transferência se apresentar como necessária para cooperação jurídica internacional entre órgãos públicos, para proteção da vida ou da incolumidade física do titular ou de terceiro ou para execução de políticas públicas.
Por fim, a Lei Geral de Proteção de Dados Pessoais representa um importante avanço na proteção de dados e tem forte impacto no varejo. Além de proteger os interesses das pessoas que não querem ter seus dados usados livremente pelas empresas, também ajuda o Brasil e suas companhias nas relações de comércio internacional.
(*) Sócio do escritório Cerveira, Bloch, Goettems, Hansen & Longo Advogados Associados, autor do livro “Shopping Centers – Limites na liberdade de contratar” e um dos responsáveis pela cartilha digital “Lei Geral de Proteção de Dados Pessoais e Aplicação ao Varejo”.