Mesmo diante de tantas leis setoriais, há anos se discutia no Brasil um marco legal em proteção de dados pessoais
Acaba de ser aprovado, também no Senado, o PLC n. 53/2018, que agora segue para sanção presidencial.
Nos EUA, há leis federais setoriais, todas com mais de 20 anos, como o Health Insurance Portability and Accountability Act (1996), o Electronic Communications Privacy Act (1986), o Video Privacy Protection Act (1988), o Children's Online Privacy Protection Act (1998), com a relevância do Federal Trade Comission Act, que na sua sessão 5 proíbe atividades comerciais desleais ou enganosas e impõe notificações e práticas razoáveis de segurança da informação, sendo a FTC o órgão federal fiscalizador e sancionador.
Já na Europa, o assunto precede, e muito, o GDPR, recente regulamento que passou a ter sua eficácia plena em 25.05.18, após 02 (dois) anos de vacatio legis, e serviu como base para a Lei brasileira, assim como já é utilizado em fundamentação para decisões por tribunais brasileiros. Em 1983, a Suprema Corte da Alemanha, no denominado Julgamento do Censo, estabeleceu uma verdadeira Magna Carta em termos de proteção de dados, pela primeira vez reconhecendo-o como direito fundamental, declarando que o cidadão tem direito a "autodeterminação informacional", de modo que ele possa, em princípio, decidir sobre a divulgação e o uso de seus dados pessoais.
A Carta de Direitos Fundamentais de 2002, da União Europeia, em seu art. 8º, dispõe que todos têm o direito de proteção de dados, devendo ser processados de forma justa para fins específicos e com base no consentimento ou em alguma outra base legítima estabelecida por lei.
No Brasil, além da nossa Constituição Federal, já tínhamos ao menos 30 (trinta) legislações setoriais que permeavam o assunto, como o Código de Defesa do Consumidor, o Código Civil, a Lei do Cadastro Positivo, o Marco Civil da Internet, apenas para citar alguns exemplos.
Porém, mesmo diante de tantas leis setoriais, há anos se discutia no Brasil um marco legal em proteção de dados pessoais, diante da sua relevância para o nosso país, principalmente para trazer maior segurança jurídica mediante a harmonização de conceitos, elevando a proteção aos direitos individuais das pessoas e ao fomento da economia digital, bem como, com um nível de legislação compatível com outros países, da facilitação ao fluxo de transferência internacional de dados.
E finalmente estamos sendo brindados com a Lei Geral de Proteção de Dados brasileira (LGPD). Vejamos os principais pontos:
Aplicação extraterritorial: aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que a operação de tratamento seja realizada no território nacional; a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou os dados pessoais objeto do tratamento tenham sido coletados no território nacional.
Princípios do tratamento:
· Finalidade: para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
· Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
· Necessidade: limitação do tratamento ao mínimo necessário para a realização das suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
· Transparência: informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
· Não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos; e
· Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
o Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
o Responsabilização e prestação de contas: demonstração pelo agente da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais, inclusive da eficácia das medidas;
o Livre acesso: consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade dos seus dados pessoais;
o Qualidade dos dados: exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento.
Definições relevantes:
· Dado pessoal: informação relacionada à pessoa natural identificada ou identificável;
· Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
· Titular: a pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
· Responsável: a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
· Operador: a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do responsável;
· Agentes do tratamento: o responsável e o operador.
Requisitos taxativos para o tratamento:
· Consentimento:
o Manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
o Por escrito ou por outro meio que demonstre a manifestação de vontade do titular. Se for fornecido por escrito, este deverá constar de cláusula destacada das demais;
o Deverá referir-se a finalidades determinadas e serão nulas as autorizações genéricas para o tratamento de dados pessoais;
o Será considerado nulo caso as informações fornecidas ao titular tenham conteúdo enganoso ou abusivo ou não tenham sido apresentadas previamente com transparência, de forma clara e inequívoca;
o Se houver mudanças da finalidade para o tratamento de dados pessoais não compatível com o consentimento original, o titular deverá ser informado sobre as mudanças de finalidade, podendo revogar o consentimento, caso discorde das alterações;
o Quando o tratamento for condição para o fornecimento de produto ou de serviço ou para o exercício de direito, o titular será informado com destaque sobre esse fato e sobre os meios pelos quais poderá exercer seus direitos;
o Pode ser revogado a qualquer momento, mediante manifestação expressa do titular, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob o amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação;
o É dispensada a exigência do consentimento para os dados tornados manifestamente públicos pelo titular.
· Legítimo interesse:
o Para atender aos interesses legítimos do responsável ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais;
o Somente poderá ser fundamentado para finalidades legítimas, consideradas a partir de situações concretas, que incluem o apoio e a promoção de atividades do responsável e, em relação ao titular, a proteção do exercício regular de seus direitos ou a prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele;
o Somente o tratamento de dados pessoais estritamente necessários para a finalidade pretendida;
o Mediante a adoção de medidas para garantir a transparência do tratamento de dados baseado no seu legítimo interesse;
o Órgão competente poderá solicitar relatório de impacto à proteção de dados pessoais, quando o tratamento tiver como fundamento o seu interesse legítimo, observados os segredos comercial e industrial.
· Cumprimento de obrigação legal ou regulatória pelo responsável;
· Pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas;
· Estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
· Execução de contrato ou de procedimentos preliminares relacionados a contrato do qual é parte o titular, a pedido do titular dos dados;
· Exercício regular de direitos em processo judicial, administrativo ou arbitral;
· Proteção da vida ou da incolumidade física do titular ou de terceiro;
· Tutela da saúde, com procedimento realizado por profissionais da área da saúde ou por entidades sanitárias; ou
· Proteção do crédito.
Dados sensíveis: dados pessoais sobre a origem racial ou étnica, as convicções religiosas, as opiniões políticas, a filiação a sindicatos ou a organizações de caráter religioso, filosófico ou político, dados referentes à saúde ou à vida sexual, dados genéticos ou biométricos, quando vinculados a uma pessoa natural, com hipóteses de tratamento mais restritas.
Dados anonimizados: dados pessoais relativos a um titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.
· Porém, somente serão considerados dados pessoais, para os fins da Lei, quando o processo de anonimização for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido;
· A determinação do que seja razoável deve levar em consideração fatores objetivos, tais como custo e tempo necessário para reverter o processo de anonimização, de acordo com as tecnologias disponíveis, e a utilização exclusiva de meios próprios;
· Poderão ser igualmente considerados como dados pessoais, para os fins da Lei, aqueles utilizados para a formação do perfil comportamental de uma determinada pessoa natural, se identificada;
· Órgão competente poderá dispor sobre padrões e técnicas utilizadas em processos de anonimização e realizar verificações acerca de sua segurança.
Direitos do titular: tem direito a obter do responsável, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:
· A confirmação da existência de tratamento e o acesso aos dados. Quando o tratamento tiver origem no consentimento do titular ou em contrato, o titular poderá solicitar cópia eletrônica integral dos seus dados pessoais, observado os segredos comercial e industrial, em formato que permita a sua utilização subsequente, inclusive em outras operações de tratamento;
· A correção de dados incompletos, inexatos ou desatualizados;
· A anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a Lei. Neste caso, o responsável deverá informar imediatamente aos agentes de tratamento com os quais tenha realizado uso compartilhado de dados a correção, a eliminação, a anonimização ou o bloqueio dos dados, para que repitam idêntico procedimento;
· A portabilidade dos dados pessoais a outro fornecedor de serviço ou produto, mediante requisição expressa e observados os segredos comercial e industrial, não incluindo dados que já tenham sido anonimizados pelo responsável;
· A eliminação dos dados pessoais tratados com o consentimento do titular;
· A informação das entidades públicas e privadas com as quais o responsável realizou o uso compartilhado de dados;
· A informação sobre a possibilidade de não fornecer o consentimento e sobre as consequências da negativa;
· A revogação do consentimento.
Tratamento automatizado: o titular dos dados tem direito a solicitar revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, inclusive as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo, de crédito ou os aspectos de sua personalidade.
· O responsável deverá fornecer, sempre que solicitadas, informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, observados os segredos comercial e industrial;
· Em caso de não oferecimento de referidas informações, órgão competente poderá realizar auditoria para verificação de aspectos discriminatórios em tratamento automatizados.
Relatório de impacto à proteção de dados pessoais: documentação do responsável que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.
· O órgão competente poderá:
o Solicitar o relatório, quando o tratamento tiver como fundamento o seu interesse legítimo, observados os segredos comercial e industrial; e
o Determinar ao responsável que elabore o relatório, inclusive de dados sensíveis, referente às suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial.
· O relatório deverá conter, no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para sua coleta e para a garantia da segurança das informações, bem como a análise do responsável com relação às medidas, salvaguardas e mecanismos de mitigação de risco adotados.
Data Protection Officer (Encarregado): pessoa natural, indicada pelo responsável, que atua como canal de comunicação entre o responsável e os titulares e o órgão competente.
· É obrigatório e o responsável deverá indicar um encarregado pelo tratamento de dados pessoais;
· Órgão competente poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados;
· A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, preferencialmente no sítio eletrônico do responsável;
· Atividades do encarregado:
o Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
o Receber comunicações do órgão competente e adotar providências;
o Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
o Executar as demais atribuições determinadas pelo responsável ou estabelecidas em normas complementares.
Security by Design: o tratamento de dados pessoais será irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes, entre as quais: o modo pelo qual é realizado; o resultado e os riscos que razoavelmente dele se esperam; as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado.
· Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito;
· Órgão competente poderá dispor sobre padrões técnicos mínimos, considerados a natureza das informações tratadas, as características específicas do tratamento e o estado atual da tecnologia, especialmente no caso de dados sensíveis;
· As medidas deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução;
· Qualquer outra pessoa que intervenha em uma das fases do tratamento obriga-se a garantir a segurança da informação;
· Os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança, aos princípios gerais previstos na Lei e às demais normas regulamentares.
Comunicação em casos de incidentes: o responsável deverá comunicar ao órgãocompetente e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
· A comunicação será feita em prazo razoável, conforme definido pelo órgão competente;
· Deverá mencionar, no mínimo:
o A descrição da natureza dos dados pessoais afetados;
o As informações sobre os titulares envolvidos;
o A indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
o Os riscos relacionados ao incidente;
o Os motivos da demora, no caso de a comunicação não ter sido imediata; e
o As medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
· Órgão competente verificará a gravidade do incidente e poderá, caso necessário, determinar ao responsável a adoção de providências, tais como:
o Ampla divulgação do fato em meios de comunicação; e
o Medidas para reverter ou mitigar os efeitos do incidente.
· No juízo de gravidade do incidente, será avaliada eventual comprovação de que foram adotadas medidas técnicas adequadas que tornem os dados pessoais afetados ininteligíveis, no âmbito e nos limites técnicos de seus serviços, para terceiros não autorizados a acessá-los.
Governança Corporativa: os responsáveis e operadores poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.
· Levarão em consideração, em relação ao tratamento e aos dados, a natureza, o escopo, a finalidade e a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados de titular;
· O responsável, observados a estrutura, a escala e o volume de suas operações, bem como a sensibilidade dos dados tratados, a probabilidade e a gravidade dos danos para os titulares dos dados, poderá:
o Implementar programa de governança em privacidade que, no mínimo:
§ Demonstre o comprometimento do responsável em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais;
§ Seja aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo em que se realizou sua coleta;
§ Seja adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados;
§ Estabeleça políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade;
§ Tenha o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular;
§ Esteja integrado à sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos;
§ Conte com planos de resposta a incidentes e remediação; e
§ Seja atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas;
o Demonstrar a efetividade de seu programa de governança em privacidade quando apropriado, e, em especial, a pedido do órgão competente ou de outra entidade responsável por promover o cumprimento de boas práticas ou códigos de conduta.
· As regras de boas práticas e de governança deverão ser publicadas e atualizadas periodicamente e poderão ser reconhecidas e divulgadas pelo órgão competente;
· Órgão competente estimulará a adoção de padrões técnicos que facilitem o controle pelos titulares dos seus dados pessoais.
Transferência internacional: transferência de dados pessoais para um país estrangeiro ou organização internacional da qual o país seja membro, que somente é permitida nos seguintes casos:
· Para países ou organizações internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto na Lei, mediante avaliação pelo órgão competente, que levará em consideração:
o As normas gerais e setoriais da legislação em vigor no país de destino ou na organização internacional; a natureza dos dados; a observância dos princípios gerais de proteção de dados; a adoção de medidas de segurança previstas em regulamento; a existência de garantias judiciais e institucionais para o respeito aos direitos de proteção de dados; e as outras circunstâncias específicas relativas à transferência.
· Quando comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos na lei, com definição do seu conteúdo por órgão competente, na forma de:
o Cláusulas contratuais específicas para uma determinada transferência;
o Cláusulas-padrão contratuais;
o Normas corporativas globais;
o Selos, certificados e códigos de conduta regularmente emitidos;
· Para cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de direito internacional;
· Para a proteção da vida ou da incolumidade física do titular ou de terceiros;
· Quando o órgão competente autorizar a transferência;
· Quando a transferência resultar em compromisso assumido em acordo de cooperação internacional;
· Para a execução de política pública ou atribuição legal do serviço público;
· Com consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação, distinguindo claramente esta de outras finalidades.
Crianças e adolescentes: o tratamento deverá ser realizado no seu melhor interesse, com o consentimento específico e em destaque dado por pelo menos um dos pais ou responsável legal, mediante todos os esforços razoáveis para verificar que o consentimento foi dado pelo responsável pela criança ou adolescente, consideradas as tecnologias disponíveis.
Autoridade Nacional de Proteção de Dados: o órgão competente, integrante da administração pública federal indireta, submetido a regime autárquico especial e vinculado ao Ministério da Justiça.
· Será composta pelo Conselho Diretor, como órgão máximo, e pelo Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, além das unidades especializadas para a aplicação desta Lei;
· É caracterizada por independência administrativa, ausência de subordinação hierárquica, mandato fixo e estabilidade de seus dirigentes e autonomia financeira;
· O regulamento e a estrutura organizacional serão aprovados por decreto do Presidente da República;
· O Conselho Diretor será composto por 3 (três) conselheiros e decidirá por maioria;
· Atribuições, entre outras:
o Zelar pela proteção dos dados pessoais, nos termos da legislação;
o Zelar pela observância dos segredos comercial e industrial em ponderação com a proteção de dados pessoais e do sigilo das informações;
o Elaborar diretrizes para Política Nacional de Proteção de Dados Pessoais e da Privacidade;
o Fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso;
o Atender petições de titular contra responsável;
o Promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança;
o Promover estudos sobre as práticas nacionais e internacionais de proteção de dados pessoais e privacidade;
o Estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle dos titulares sobre seus dados pessoais;
o Promover ações de cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transnacional;
o Dispor sobre as formas de publicidade das operações de tratamento de dados pessoais, observado o respeito aos segredos comercial e industrial;
o Editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, assim como sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco para a garantia dos princípios gerais de proteção de dados pessoais previstos nesta Lei;
o Ouvir os agentes de tratamento e a sociedade em matérias de interesse relevante, assim como prestar contas sobre suas atividades e planejamento.
· Receitas, entre outras:
o O produto da execução da sua dívida ativa;
o As dotações consignadas no orçamento geral da União, os créditos especiais, os créditos adicionais, as transferências e os repasses que lhe forem conferidos;
o As doações, legados, subvenções e outros recursos que lhe forem destinados;
o O produto da cobrança de emolumentos por serviços prestados;
o Os recursos provenientes de acordos, convênios ou contratos celebrados com entidades, organismos ou empresas, públicos ou privados, nacionais e internacionais;
o O produto da venda de publicações, material técnico, dados e informações, inclusive para fins de licitação pública.
Conselho Nacional:
· Será composto por 23 (vinte e três) representantes titulares, e seus suplentes, dos seguintes órgãos:
o 6 (seis) representantes do Poder Executivo federal;
o 1 (um) representante indicado pelo Senado Federal;
o 1 (um) representante indicado pela Câmara dos Deputados;
o 1 (um) representante indicado pelo Conselho Nacional de Justiça;
o 1 (um) representante indicado pelo Conselho Nacional do Ministério Público;
o 1 (um) representante indicado pelo Comitê Gestor da Internet no Brasil;
o 4 (quatro) representantes da sociedade civil com atuação comprovada em proteção de dados pessoais;
o 4 (quatro) representantes de instituição científica, tecnológica e de inovação; e
o 4 (quatro) representantes de entidade representativa do setor empresarial afeto à área de tratamento de dados pessoais.
· Mandato de 2 (dois) anos, permitida 1 (uma) recondução;
· Será considerada atividade de relevante interesse público, não remunerada;
· Funções:
o Propor diretrizes estratégicas e fornecer subsídios para a elaboração da Política Nacional de Proteção de Dados Pessoais e da Privacidade e de atuação da Autoridade Nacional de Proteção de Dados;
o Elaborar relatórios anuais de avaliação da execução das ações da Política Nacional de Proteção de Dados Pessoais e da Privacidade;
o Sugerir ações a serem realizadas pela Autoridade;
o Realizar estudos e debates sobre a proteção de dados pessoais e da privacidade; e
o Disseminar o conhecimento sobre proteção de dados pessoais e da privacidade à população em geral.
Responsabilidades
· O responsável ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo;
· O operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação ou quando não tiver seguido as instruções lícitas do responsável, hipótese em que o operador equipara-se a responsável;
· Os responsáveis que estiverem diretamente envolvidos no tratamento do qual decorreram danos ao titular dos dados respondem solidariamente;
· Há possibilidade de inversão do ônus da prova a favor do titular dos dados quando for verossímil a alegação, houver hipossuficiência para fins de produção de prova ou quando a produção de prova pelo titular resultar-lhe excessivamente onerosa;
· Aquele que reparar o dano ao titular tem direito de regresso contra os demais responsáveis, na medida de sua participação no evento danoso;
· Exceções, que impedem a responsabilização:
o Não realizaram o tratamento de dados pessoais que lhes é atribuído;
o Não houve violação à legislação;
o O dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.
Sanções administrativas:
· Aplicáveis pelo órgão competente, independentemente de outras sanções administrativas, civis ou penais definidas em legislação específica. São elas:
o Advertência, com indicação de prazo para adoção de medidas corretivas;
o Multa simples ou diária, de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 por infração.
§ No cálculo do referido valor, o órgão competente poderá considerar o faturamento total da empresa ou grupo de empresas, quando não dispuser do valor do faturamento no ramo de atividade empresarial em que ocorreu a infração, definido pelo órgão competente, ou quando o valor for apresentado de forma incompleta ou não for demonstrado de forma inequívoca e idônea;
§ Deverá observar a gravidade da falta e a extensão do dano ou prejuízo causado e ser fundamentado pelo órgão competente;
§ A intimação deverá conter, no mínimo, a descrição da obrigação imposta, o prazo razoável e estipulado pelo órgão para o seu cumprimento e o valor da multa diária a ser aplicada pelo seu descumprimento.
o Publicização da infração após devidamente apurada e confirmada a sua ocorrência;
o Bloqueio de dados pessoais a que se refere a infração até a sua regularização;
o Eliminação dos dados pessoais a que se refere a infração;
o Suspensão parcial ou total de funcionamento de banco de dados a que se refere a infração pelo período máximo de 6 meses, prorrogável por igual período até a regularização da atividade de tratamento pelo responsável;
o Suspensão do exercício de atividade de tratamento de dados pessoais a que se refere a infração pelo período máximo de 6 meses, prorrogáveis por igual período; e
o Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
· Serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados os seguintes parâmetros e critérios:
o A gravidade e a natureza das infrações e dos direitos pessoais afetados;
o A boa-fé do infrator;
o A vantagem auferida ou pretendida pelo infrator;
o A condição econômica do infrator;
o A reincidência;
o O grau do dano;
o A cooperação do infrator;
o A adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano;
o A adoção de política de boas práticas e governança;
o A pronta adoção de medidas corretivas; e
o A proporcionalidade entre a gravidade da falta e a intensidade da sanção.
· Órgão competente definirá, por meio de regulamento próprio sobre sanções administrativas a infrações a Lei que deverá ser objeto de consulta pública, as metodologias que orientarão o cálculo do valor-base das sanções de multa.
o As metodologias a que se refere a disposição acima, devem ser previamente publicadas, para ciência dos agentes de tratamento, e devem apresentar objetivamente as formas e dosimetrias para o cálculo do valor-base das sanções de multa, que deverão conter fundamentação detalhada de todos os seus elementos.
o O regulamento de sanções e metodologias correspondentes deve estabelecer as circunstâncias e as condições para a adoção de multa simples ou diária.
Tratamento pelo poder público: há capítulo próprio contendo as regras para tratamento de dados pessoais pelo poder público.
Vacatio Legis: 18 (dezoito) meses de sua publicação oficial.
Assim, finalmente o Brasil conta com uma robusta legislação em termos de proteção de dados pessoais, o que possivelmente aprimorará o desenvolvimento tecnológico, práticas de negócios, crescimento do mercado digital e ao mesmo tempo proteção aos dados pessoais dos cidadãos em nosso país.
Ademais, um cuidado que se deve ter, é que a Autoridade de Proteção de Dados, sob pena de ausência de confiança do mercado, priorize um engajamento construtivo com a indústria, no seguinte sentido:
· Em vez de inquisição e sanção, dar prioridade ao diálogo, apoio, mutua cooperação, orientação, conscientização e informação;
· Estimular relações abertas e construtivas com negócios que lidem com dados pessoais, primando pela boa-fé das empresas e nos seus esforços em cumprir a lei;
· Criação de ambientes para inovações responsáveis, como “Regulatory Sandboxes”, nos quais novos projetos são testados em atmosferas controladas visando avaliar eventuais e futuras necessidades regulatórias, conforme o caso, mas a posteriori;
· Empresas que se esforcem em agir de forma responsável, sejam encorajadas a demonstrar seus programas de privacidade, segurança da informação, códigos de conduta e gerenciamento de risco, visando gerar o reconhecimento do mercado por suas boas práticas, incluindo certificações, entre outros padrões de accountability;
· As sanções devem ser a ultima ratio, principalmente e somente quando houver alguma violação dolosa, ou práticas exponencialmente negligentes, condutas reiteradas ou extremamente graves.
Portanto, é com grande satisfação que vejo aprovação da nossa LGPD, que traz um equilíbrio entre interesses sociais e econômicos, entre o público e o privado, entre liberdade, proteção e segurança, buscando tutelar, ao mesmo tempo, a proteção de dados pessoais, a dignidade da pessoa humana, a privacidade, a honra e a imagem das pessoas, assim como a livre iniciativa e o uso econômico dos dados, de forma legítima, séria, responsável, proporcional e razoável.
(*) Rony Vainzof é sócio do Opice Blum, Bruno, Abrusio e Vainzof Advogados Associados, Mestre em Soluções Alternativas de Conflitos, Coordenador e Professor da Pós Graduação em Direito Eletrônico da Escola Paulista de Direito e Diretor do Departamento de Defesa e Segurança da FISP