LGPD: Atores, responsabilidades, penalizações

Nesse post, iremos conhecer os novos atores, criados em lei, que passam a atuar no mundo da Privacidade e Segurança de Dados. As empresas brasileiras que lidam com dados pessoais deverão criar áreas específicas e atribuir cargos específicos para estarem em conformidade com a legislação. Além de gerar novas contratações, a LGPD também determina a criação de novos processos e procedimentos, além de regular governança, boas práticas, sanções administrativas, reparação de danos e responsabilidade civil.

Lembrando nosso roadmap dessa série de posts:

  1. Contexto e origem;
  2. Princípios da nova lei;
  3. Coleta de dados;
  4. Manter e processar dados;
  5. Dados sensíveis;
  6. Atores da nova lei;
  7. BigData, Data Science, Machine Learning, AI: um approach jurídico;

A LGPD trata dos atores no Capítulo VI, artigos 37 a 45 (1). Foram criados, entre atores e processos:

  1. Controlador de dados
  2. Operador de dados
  3. Encarregado pelo tratamento de dados
  4. Autoridade Nacional de Proteção de Dados
  5. Conselho Nacional de Proteção de Dados Pessoais e da Privacidade
  6. Processo de segurança e sigilo de dados
  7. Boas práticas de Governança
  8. Fiscalização e sanção administrativa

Do Controlador e do Operador de dados

A figura do Controlador é definida no art. 5º, VI, e a do Operador, no mesmo art., inciso VII. A LGPD determina que o Controlador é “pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;” Já o Operador é “pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;”. Desse modo, independente de ser uma pessoa, ou uma empresa, de ser um ente privado ou público, todo aquele que tratar com dados pessoais, no escopo da LGPD, terá de designar uma pessoa dentro da corporação que responderá pelas decisões que forem tomadas em relação ao tratamento de dados de pessoas naturais. A LGPD dá tratamento diferenciado entre empresas privadas e públicas, aumentando os procedimentos e responsabilidades do Poder Público, em relação ao privado, além de determinar que dados ligados à Segurança Pública, Defesa Nacional, Segurança do Estado e Atividades de repressão de infrações penais só podem ser processados pelo setor público, ou pelo setor privado sob tutela de empresa pública. Nessa hipótese, os dados não podem ser tratados integralmente pela mesma empresa privada tutelada, devendo ser dividido o seu processamento[1]. Também há equiparação de determinados empreendimentos privados com empresas públicas, como por exemplo os serviços notariais e de registro. Essas atividades são privadas, mas exercidas por delegação do Poder Público. Por conta disso, a LGPD trata cartórios como empresas públicas, para fins de cumprimento da legislação, nos termos do art. 23, §§ 4º e 5º, LGPD[2].

O Controlador e o Operador são obrigados a manter registro das operações de tratamento que realizaram, apontando finalidade, tempo de processamento, prazo, segurança, sigilo e privacidade, consentimento dado, ou hipóteses de exclusão de consentimento. O art. 37, LGPD, estipula que esse registro será especialmente importante, quando o processamento se der pelo legítimo interesse do Controlador – hipótese de dispensa de consentimento, art. 7º, IX, LGPD. Também é obrigação do Controlador elaborar relatório de impacto à proteção de dados pessoais, guardados os segredos industriais e comerciais. O relatório de impacto é especificado no art. 5º, XVII, LGPD[3] e pelo § único do art. 38. Esse relatório poderá ser requisitado a qualquer tempo pela Autoridade Nacional. O art. 39 determina uma relação de hierarquia entre o Controlador e o Operador, atribuindo ao primeiro a auditoria dos procedimentos do Operador, determinados pelo Controlador. O Operador deverá tratar os dados apenas como o Controlador solicitar, cabendo a este último verificar se as instruções foram seguidas e se o Operador cumpriu o restante das normas sobre a matéria. Ou seja, a responsabilidade pelo cumprimento da LGPD e outras legislações sobre a matéria – Marco Civil da Internet, Lei de Acesso à Informação, Lei do Habeas Data, entre outras – é do Controlador, não do Operador.

O Controlador deverá ainda acatar as determinações da ANPD sobre os padrões de interoperabilidade dos dados – formatos que possam ser lidos e utilizados em diversas plataformas – livre acesso aos dados e segurança e o tempo de guarda dos registros, nos termos do art. 40, LGPD. E por último, o art. 41 determina que o Controlador deverá indicar o Encarregado de dados, que irá fazer a interface com o público em geral, com a ANPD e com funcionários e fornecedores de sua empresa.

Também cabe ao Controlador o ônus da prova de que o consentimento do titular foi obtido nos termos da lei, nos termos do art. 8º, §2º, LGPD, bem como comunicar ao titular mudança de finalidade no tratamento de dados – art. 8º. §6º. A identificação de quem é o Controlador de Dados deve ser clara e disponível ao titular, com ampla divulgação – art. 9º, III. O Controlador também é responsável pelo cumprimento dos direitos do titular, listados no art. 18 a 20, LGPD.

O Controlador e o Operador de processamento de Dados, em conjunto, formam os Agentes de Tratamento, determinação dada pelo art. 5º, IX. A LGPD não veda a terceirização da atividade de Operador de dados, mas estabelece que nos casos de agentes públicos, determinada classe de dados só podem ser processados por ente privado sob tutela do ente público, como vimos há pouco.

Do Encarregado

O Encarregado é indicado pelo Controlador e deverá realizar as tarefas de interface com o público em geral, com a Autoridade Nacional de Proteção de Dados e com funcionários e fornecedores de sua empresa. As funções do Encarregado estão descritas no art. 41, §§ e incisos.

O §1º do art. 41 especifica que a identidade e as informações de contato do Encarregado são públicas e devem ser amplamente divulgadas, preferencialmente no site do Controlador. O Encarregado tem por obrigações:

  1. Receber as reclamações e comunicações dos titulares de dados, dar encaminhamento às mesmas e prestar informações. Essa atividade específica demanda a criação de um processo de atendimento bastante conhecido das empresas, seja em Help Desk de empresas de TI, seja em Call Centers de Serviços de Atendimento ao Cliente. Obviamente, esse processos deverão ser adaptados para atenderem aos quesitos legais da LGPD, mas a base processual é a mesma: abertura de ticket de atendimento, atendimento em níveis, escalonamento, prazo mínimo e máximo de atendimento, planos de contingência, scripts de atendimento, canais multiplataforma (telefone, aplicativos, sites, Redes Sociais etc.), Base de Gestão de Conhecimento (wiki de atendimento), sistemas de ranking, classificação das demandas por probabilidade de ocorrência e impacto, relevância e compliance, potencial de dano, controle de danos principais e colaterais, entre outros[4].
  2. Receber as comunicações da ANPD e adotar providências[5]. Essa atividade é bastante conhecida por empresas que atuam em setores regulados, como o setor financeiro. São centenas de normativas expedidas por órgãos públicos e auto-regulatórios – como Banco Central, Ministério da Fazenda, Conselho de Valores Mobiliários, por exemplo. Do mesmo modo, a ANPD deverá emitir normativas que deverão ser cumpridas pelas empresas do setor de Dados. As normativas podem ser apenas para informação, mas também podem exigir uma ação dentro de um determinado prazo. É comum que novas regulações criem cargos, processos, extingam procedimentos, alterem regras de armazenamento e segurança. Desse modo, não basta estar conforme a legislação. É preciso monitorar ativamente os órgãos emissores de normativas, captura-las, classifica-las e dar encaminhamento aos procedimentos necessários para cumprir as obrigações legais.
  3. Orientar os funcionários e os fornecedores da empresa ou entidade na qual trabalha sobre as práticas que devem ser respeitadas em relação aos dados pessoais[6]. No capítulo VII, seção II, a LGPD trata das boas práticas e da Governança. Esses processos e práticas devem ser difundidos na organização pelo Encarregado, que também deve instruir os fornecedores da empresa, para que os mesmos cumpram os processos que garantem o sigilo, privacidade e segurança dos dados.
  4. Deve cumprir as demais atribuições do cargo, dadas pelo Controlador ou por normas complementares[7]. O inciso IV traz alguns conceitos importantes de se fixar. Primeiro, estabelece uma subordinação entre o Controlador e o Encarregado, na qual o segundo é subordinado do primeiro. Isso significa dizer que o Encarregado não é autônomo, tomando decisões por conta própria, ou decidindo o que deve ser feito em que momento. Essas atividades são com Controlador, que irá determinar a ordem de importância dos atos a serem realizados, sua ordem e tempo de realização. O segundo conceito é a complementariedade de atribuições, dadas pelo Controlador ou por normas complementares. Ou seja, o job description do Encarregado deverá ser documentado, sendo aprovado pelo Controlador. Mudanças que causem restrição ou expansão da atribuição devem ser incluídas na descrição de trabalho do Encarregado e divulgadas, de modo que a corporação e os fornecedores tomem conhecimento.

O §3º do art. 41 estabelece a hipótese de exclusão do Encarregado. A ANPD poderá dispensar uma empresa de ter um Encarregado, a depender da natureza do negócio, porte da empresa e volume de dados tratados. Do mesmo modo, pode estabelecer normas complementares sobre a definição e as atribuições dele.

Da ANPD e do Conselho

A Autoridade Nacional de Proteção de Dados foi prevista originalmente na LGPD como sendo um órgão ligado ao Ministério da Justiça. No entanto, quando do sancionamento pelo então presidente Michel Temer em agosto de 2018, a presidência vetou a criação da ANPD por vício de origem, pois o Legislativo não está autorizado a dispor sobre a organização do Estado, nos termos do Art. 84, VI, “a”, CF/1988 (2). Em dezembro de 2018, o governo publicou a Medida Provisória 869/2018, que criou a Autoridade Nacional de Proteção de Dados (ANPD), além de dar outras alterações à LGPD. Uma das alterações é a duração do Vacatio Legis, ampliado de 18 para 24 meses. Diferentemente do que propunha o texto do Congresso, a nova autoridade é um órgão da Presidência da República com apenas autonomia técnica. Os integrantes da ANDP virão de cargos remanejados de outros órgãos da administração pública federal.

A MP 869 também criou o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, vinculado à ANPD e composto por 23 representantes titulares:

  1. seis representantes do Executivo federal;
  2. um representante indicado pelo Senado Federal;
  3. um representante indicado pela Câmara dos Deputados;
  4. um representante indicado pelo Conselho Nacional de Justiça;
  5. um representante indicado pelo Conselho Nacional do Ministério Público;
  6. um representante indicado pelo Comitê Gestor da Internet no Brasil;
  7. quatro representantes da sociedade civil com atuação comprovada em proteção de dados pessoais;
  8. quatro representantes de instituição científica, tecnológica e de inovação;
  9. quatro representantes de entidade representativa do setor empresarial ligado à área de tratamento de dados pessoais.

A participação dos conselheiros, com mandato de dois anos, é não remunerada.

Entre suas competências, podem ser citadas a proposição de diretrizes estratégicas; a elaboração de relatórios anuais de avaliação da execução das ações da Política Nacional de Proteção de Dados; a realização de estudos e debates sobre o tema; e a disseminação do conhecimento sobre o assunto entre a população em geral.

As atribuições da ANPD e do Conselho estão distribuídas ao longo dos artigos 55-A a 58-B. Dentre as várias funções, vale salientar que o art. 55-K, parágrafo único, determina que a ANPD é órgão central de interpretação da LGPD e do estabelecimento de normas e diretrizes para a sua implementação.

Da Responsabilidade e do dever de reparar o dano

Apesar de o Código Civil regular a Responsabilidade Civil no art. 186, combinado com o art. 927 (3), a LGPD optou por dispor sobre o assunto na seção III, artigos 42 a 45.

Vamos analisar brevemente o que é Responsabilidade Civil. A noção jurídica de responsabilidade pressupõe a atividade danosa que alguém pratica, violando uma norma jurídica preexistente (legal ou contratual) e subordinando-se às consequências do seu ato, que é a obrigação de reparar (4). Pode-se afirmar que Responsabilidade exprime a ideia de restauração de equilíbrio, de reparação do dano causado (5). Na sociedade moderna, o instituto da Responsabilidade Civil possui um papel fundamental: a resolução dos conflitos intersubjetivos e transindividuais. A função da responsabilidade civil é dupla: por um lado, garantir o direito do lesado, prevenindo-se a coletividade de novas violações que poderiam eventualmente ser realizadas pelo agente em desfavor de terceiros determinados ou não; por outro lado, servir como uma sanção civil (6).

Quem pratica ato ilícito, fica responsável pela indenização dos danos a que culposamente der causa (7). Ou seja, quem causou o dano, tem dever de indenizá-lo. O Direito brasileiro opera com duas categorias (grosso modo) de Responsabilidade Civil: a subjetiva e a objetiva. A responsabilidade civil subjetiva é a decorrente de dano causado em função de ato doloso ou culposo. Esta culpa se caracterizará, quando o agente causador do dano atuar com negligência ou imprudência. A noção básica da responsabilidade civil, dentro da doutrina subjetiva, é o princípio segundo o qual cada um responde pela própria culpa. No entanto, há situações em que a lei atribui a responsabilidade civil a alguém por dano que não foi causado diretamente por ele, mas sim por um terceiro com quem mantinha algum tipo de relação jurídica. Nesses casos, trata-se de uma responsabilidade civil indireta, em que o elemento culpa não é desprezado, mas sim presumido, em função do dever geral de vigilância a que está obrigado o réu (4). Entretanto, existem hipóteses nas quais não é necessário sequer ser caracterizada a culpa (lato sensu)– dolo, negligência, imperícia ou imprudência. Nesses casos, estaremos diante da Responsabilidade Civil Objetiva. Nesse caso, o dolo ou culpa Stricto Sensu na conduta do agente causador do dano é irrelevante, pois será necessária somente a existência do elo de causalidade entre o dano e a conduta do agente responsável para que surja o dever de indenizar (4).

A LGPD adota critérios específicos para a responsabilidade e o dever de indenizar. O modelo adotado, por força do art. 43, II, LGPD, é o da Responsabilidade Civil Subjetiva. Ou seja, deve haver a incidência dos elementos constitutivos: i) autor X vítima; ii) Dano causado pelo ato; iii) Nexo de causalidade – o ato praticado pelo autor causou o dano à vítima; iv) Dolo ou culpa – nesse último caso, a LGPD dispõe que os Agentes de Tratamento só não serão responsabilizados se i) não realizaram o tratamento de dados pessoais que lhes é atribuído; ii) se realizaram o tratamento, mas não houve violação da legislação de proteção de dados; ou iii) quando o dano for culpa exclusiva do titular de dados ou de terceiro. Assim, são três as exceções de responsabilidade civil. Salienta-se que a segunda hipótese é um incentivo à adoção da LGPD, pois se há total aderência aos comandos da lei, a responsabilidade civil queda-se excluída.

O art. 42 fixa o tipo jurídico característico da Responsabilidade Civil, estabelecendo que se a conduta causar dano a outros, há obrigação de reparação. No entanto, outros elementos constitutivos da obrigação estão presentes. São eles:

  1. O dano deve ocorrer em função da atividade de tratamento de dados pessoais;
  2. O dano pode ser patrimonial ou moral. Pode ser individual ou coletivo;
  3. O dano deve ocorrer em violação à legislação de proteção de dados pessoais;

O §1º, incisos I e II, instituem garantia de efetiva indenização. Isso quer dizer que a LGPD concede algumas compensações ao titular dos dados, no sentido de que o exercício de seu direito não seja prejudicado. É possível encontrar formulações semelhantes no Direito do Consumidor e no Direito do Trabalho, entre outros.

O inciso I estabelece que a relação entre o Operador e o Controlador, sendo mais de uma empresa, é de responsabilidade solidária. Pode ocorrer o concurso de agentes na prática do ato ilícito. Tal concurso se dá quando duas ou mais pessoas praticam o ato ilícito. Surge, então, a solidariedade dos diversos agentes. Em consequência, a vítima pode mover a ação contra qualquer um, ou contra todos os devedores solidários: havendo mais de um agente causador do dano, não se pergunta qual deles deve ser chamado como responsável direto. A vítima pode escolher, dentre os corresponsáveis, aquele de maior resistência econômica para suportar o encargo ressarcitório. Este corresponsável então poderá agir contra os coobrigados, para de cada um haver a quota proporcional no volume da indenização, com uma ação de regresso sobre os outros corresponsáveis, ou regredir especificamente contra o causador direto do dano (5). No entanto, o Operador somente responderá solidariamente, se i) descumprir as obrigações da legislação de dados; ou ii) quando não tiver seguido as instruções lícitas do Controlador. Nessa segunda hipótese, o Operador é equiparado ao Controlador no que toca à responsabilidade pelos atos praticados, salvo nas três exceções do art. 43 que vimos acima. Veja, manter evidências do cumprimento da LGPD, bem como histórico atualizado das comunicações entre Controlador e Operador ganha nova importância no contexto da lei. O Operador que não quiser ser responsabilizado solidariamente em caso de ação cível por dano oriundo de processamento de dados, deverá manter um conjunto probatório atualizado e documentado, como maneira de opor-se à solidarização judicial.

O inciso II do §1º do art. 42 traz uma segunda garantia solidária: se houve compartilhamento de dados e há mais de um controlador diretamente envolvido, estes respondem solidariamente também, salvo nas exceções do art. 43. Ou seja, o titular pode acionar qualquer um dos controladores pelo total da indenização. Como anteriormente, aquele que arcar com toda a indenização, tem direito de regresso sobre os demais envolvidos.

O §2º trata de outra garantia processual: a inversão do ônus da prova. O termo ônus é associado a uma obrigação, um dever. No aspecto jurídico, o ônus é um imperativo do próprio interesse, uma espécie de faculdade. Trata-se de posição jurídica ativa, onde não há posição contrária (contraposta) e sequer sanção em caso de descumprimento. É um encargo a ser desincumbido pelo próprio sujeito ativo e em seu proveito. O Novo Código de Processo Civil dispõe sobre o ônus da prova de modo expresso (8). Cabe ao autor provar o(s) fato(s) constitutivo(s) de seu direito e ao réu eventuais fatos impeditivos, modificativos ou extintivos do direito que o autor alega possuir (9). No entanto, existem casos em que as regras do ônus da prova devem se curvar aos princípios que regem o direito processual. Não é possível assegurar igualdade entre as partes, ou assegurar o devido processo legal, na medida em que se exige de uma das partes algo que ela não pode fazer. Assim, sempre que a distribuição legal acarretar dificuldade a uma das partes, deverá o juiz determinar a inversão do ônus da prova, quando a parte contrária puder produzi-la sem maiores esforços (10). Se ao autor da demanda judicial é impossível, ou muito custoso, produzir a prova, o Direito admite a inversão do ônus do autor para o réu, reestabelecendo o equilíbrio entre as partes, fator essencial para um processo justo. A LGPD permite a inversão do ônus pelo juiz nos casos em que a i) alegação do titular for verossímil; ii) houver hipossuficência para fins de produção de prova; ou iii) quando a produção da prova for excessivamente onerosa ao titular.

O §3º do art. 42, LGPD, autoriza a ação coletiva por reparação de danos, nos termos da legislação brasileira, enquanto o §4º garante do direito de regresso àquele que reparar o dano ao titular sobre os outros corresponsáveis.

O art. 44, LGPD, trata das hipóteses de irregularidade do tratamento de dados. Um tratamento será considerado irregular, e portanto uma ilicitude, quando os agentes de tratamento deixarem de observar a legislação de proteção de dados, ou quando não fornecerem a segurança que o titular poderia dele esperar, considerando: i) o modo como o tratamento é realizado; ii) o resultado e os riscos que razoavelmente dele se esperam; e iii) técnicas de tratamento disponíveis à época. Essas hipóteses determinam, então, que haverá responsabilidade de reparação dos danos causados por processamento irregular, se o controlador, o operador, ou qualquer funcionário de seu corpo funcional não oferecerem a segurança de dados necessária, ou processarem os dados em desconformidade com a legislação.

É importante salientar que não são apenas as figuras do Controlador e do Operador que são responsáveis pelos dados. Um funcionário da empresa, ao agir em desconformidade com a lei, não exime a empresa das consequências legais. Isso se deve à Teoria da Aparência. O fenômeno da aparência de direito é de construção recente e é produto da aceleração dos negócios e interpenetração das relações jurídicas cada vez mais complexas. Privilegia uma situação aparente em detrimento da realidade, a fim de proteger interesses e de resguardar a ordem jurídica. A Teoria da Aparência é uma proteção dispensada pelo ordenamento jurídico em favor de terceiros de boa-fé, à validade dos negócios jurídicos celebrados sob a égide de uma situação aparente (11).

O parágrafo único do art. 44, LGPD, determina mais uma hipótese de dano a ser indenizado pelos agentes de tratamento: os danos causados em decorrência da violação de segurança, quando os agentes deixarem de adotar as medidas previstas no art. 46. Ou seja, se as medidas determinadas na LGPD não forem adotadas e houver dano causado pela violação de segurança, há obrigação de indenizar. O art. 45 determina que a violação do direito do titular no âmbito das relações de consumo permanecem sujeitas às regras de responsabilidade da legislação pertinente. No caso, reguladas pela Lei 8.078/1990 – Código de Defesa do Consumidor.

Da segurança e sigilo

O Capítulo VII da LGPD trata da segurança e das boas práticas na proteção de dados. Vale lembrar que cumprir as exigências da lei, além de evitar as multas administrativas, afasta a responsabilidade civil por dano causado pelo tratamento de dados[8]. O caput do art. 46[9] dispara uma série de instruções e hipóteses de responsabilização. São elas:

  1. Agentes de tratamento devem adotar medidas técnicas e administrativas para proteger os dados;
  2. As medidas devem proteger de:
    • Acessos não autorizados;
    • Situações acidentais ou ilícitas de destruição de dados;
    • Situações acidentais ou ilícitas de perda de dados;
    • Situações acidentais ou ilícitas de alteração de dados;
    • Situações acidentais ou ilícitas de comunicação de dados;
  3. Qualquer forma de tratamento inadequado ou ilícito;

Vejam que temos novamente uma cláusula geral, que permite a ampliação do conteúdo protegido pelo dispositivo legal. Afinal, o que são “medidas técnicas e administrativas aptas a proteger os dados pessoais (...)”?

Frente a essa indeterminação de conteúdo, a própria LGPD tenta criar um limite, ou padrão a ser seguido. O §1º do art. 46 dispõe que a ANPD poderá estabelecer padrões técnicos mínimos para tornar aplicável os comandos do caput do artigo. Para tanto, a ANPD irá considerar na sua regulamentação complementar:

  1. A natureza das informações tratadas;
  2. As características específicas do tratamento;
  3. O estado atual da tecnologia;
  4. Os princípios informadores da LGPD (art.6º);

O §2º do art. 46 introduz um novo conceito no cenário brasileiro: a Privacy by Design. A LGPD determina que todo produto ou serviço sob sua regulação – ou seja, que utilizam-se de dados pessoais e pessoais sensíveis – deve ter a segurança e o sigilo dos dados observados desde sua concepção. A Privacy by Design (PbD) é um campo relativamente novo. Seu marco inicial é a publicação de Samuel Warren and Louis Brandeis, intitulada “The right to privacy”, na Harvard Law Review de 1890 (12). Modernamente, a então comissária de Informação e Privacidade da província de Ontário (CA) nos anos 1990 Ann Cavoukian intuiu que o desenvolvimento tecnológico implicaria na coleta indiscriminada de dados pessoais. Cavoukian postulou que seria necessária uma forma de garantir que as corporações incorporassem conceitos de privacidade em seus produtos e serviços. A partir desse conceito, desenvolveu sete regras gerais de aplicação da Privacidade. A PbD ganhou força nos anos 2010, sendo adotada como princípio orientador por diversas entidades de relevância na proteção de dados, tais como a Autoridade Europeia de Proteção de Dados e a Federal Trade Comission nos Estados Unidos. Atualmente, a General Data Protection Regulation – GDPR europeia usa a PbD como princípio legal incorporado (13). A GDPR é a mais importante e completa legislação de proteção de dados do mundo, além de ter determinado o padrão legal para quase todas as leis de proteção de informação que existem, incluindo a brasileira. A PbD é um assunto extenso e complexo, que iremos tratar com mais calma em outro post.

O art. 47 da LGPD estende a obrigação de segurança dos dados no tempo, determinando que os agentes de tratamento ou qualquer pessoa que tenha participado em uma das fases de tratamento de dados está obrigado a garantir a segurança da informação prevista na LGPD, mesmo após o término do tratamento. Isso significa que os agentes de tratamento deverão manter um tracking dos dados, seus tratamentos, quem participou em qual fase e com qual responsabilidade. Do ponto de vista organizacional, cada tratamento de dados deverá possuir uma ficha de dados (metadados), e cada banco de dados, fichas de dados sobre os tratamentos dos dados daquele banco – pois o mesmo dado pode ser usado em mais de um tratamento de dados. Sem isso, será praticamente impossível cumprir a LGPD: necessidade de consentimento, prova da dispensa de consentimento, finalidade, prova de comunicação com alteração de finalidade, consentimento da alteração de finalidade, término do processamento, compartilhamento dos dados, consentimento de compartilhamento de dados, rastreio de uso do compartilhamento, pedido de correção de dados, prova de correção de dados, tempo de correção de dados (mesmo para destruição de dados mediante solicitação), apenas para ficarmos nas obrigações mais comuns no dia-a-dia das empresas.

O art. 48 trata do vazamento de dados, disciplinando os passos que devem ser dados em caso de ocorrência. A LGPD determina que o Controlador deve comunicar à ANPD o incidente de segurança. Mas limita essa comunicação aos casos em que possa haver risco ou dano relevante para os titulares. O que seriam riscos ou danos relevantes? De imediato, os dados pessoais sensíveis, por sua natureza e definição jurídica, carregam risco e sua divulgação acarretaria dano ao titular. Nesse sentido, qualquer ocorrência que envolva dados pessoais sensíveis deverá ser imediatamente comunicada. Em outros casos, será necessária uma análise de risco, ou uso de uma matriz de severidade, para determinar se o incidente gera risco ou dano relevante. Uma orientação mais conservadora, baseada no princípio da precaução, indicaria a comunicação de qualquer incidente de segurança à ANPD. O §1º estipula que a comunicação deverá ser feita em prazo razoável, conforme determinado pela Autoridade Nacional. Esta comunicação deverá ter, pelo menos, seis itens:

  1. Descrição da natureza dos dados afetados;
  2. Informações sobre os titulares envolvidos;
  3. Indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados – guardados os segredos comerciais e industriais;
  4. Riscos relacionados ao incidente;
  5. Motivos da demora (caso a comunicação não tenha sido imediata);
  6. Medidas que foram (ou que serão adotadas ) para reverter ou mitigar os efeitos.

O §2º estipula quais ações a ANPD poderá tomar, de acordo com a gravidade. A lista indicada pelos incisos não é numerus clausus, já que utiliza a redação “tais como”, indicando uma lista exemplificativa. A ANPD poderá determinar:

  1. Ampla divulgação na Imprensa;
  2. Medidas para reverter ou mitigar os efeitos do incidente;

O §3º estipula que a ANPD poderá avaliar a comprovação de que os dados foram adequadamente tratados e tornados ininteligíveis por terceiros, a depender da gravidade do fato. Finalmente, o art. 49 determina que os sistemas informáticos utilizados para o tratamento de dados também devem atender os quesitos de segurança, privacidade, governança e aos princípios gerais da LGPD. Ou seja, não só os serviços e produtos devem ser projetados com o conceito de Privacy by Design, mas também os próprios softwares utilizados para o tratamento de dados devem atender a LGPD. Se você utiliza o Elastich Search, o PowerBI, o Tableau, o QlickView e similares, é preciso que eles também atendam as diretrizes de segurança e proteção de dados.

Das Boas Práticas e da Governança

A seção II do Capítulo VII trata de boas práticas de segurança de dados e da governança das informações. O Art. 50 permite que os Agentes de tratamento criem regras de governança e condições de organização, regimes de funcionamento, procedimentos , normas de segurança e padrões técnicos, ações educativas, entre outras atividades. Mais importante, a lei permite que os agentes de tratamento se organizem em associações. Isso significa dizer que a LGPD permite um espaço de auto-regulação, já que concede a criação de associações e estabelecimento de normas auto-reguladas pelo setor para normas e procedimentos. Isso é um bom sinal. No entanto, é preciso estar atento para o surgimento de associações que não representem verdadeiramente o setor, mas que visem apenas arrecadar recursos financeiros sem contrapartida técnica adequada.

De relevante, o §2º, I, lista oito quesitos na implementação de governança:

  1. Demonstre o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais;
  2. Seja aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo como se realizou sua coleta;
  3. Seja adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados;
  4. Estabeleça políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade;
  5. Tenha o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular;
  6. Esteja integrado a sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos;
  7. Conte com planos de resposta a incidentes e remediação; e
  8. Seja atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas;

Das sanções

Os artigos 52, 53 e 54 tratam das sanções que podem ser aplicadas pela ANPD e seus critérios de aplicação. O art. 52, incisos I a VI, especificam as sanções. São elas:

  1. Advertência, com indicação de prazo para adoção de medidas corretivas;
  2. Multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
  3. Multa diária, observado o limite total a que se refere ao anterior;
  4. Publicização da infração após devidamente apurada e confirmada a sua ocorrência;
  5. Bloqueio dos dados pessoais até a sua regularização;
  6. Eliminação dos dados pessoais, referentes a infração;

A LGPD não veda a aplicação concomitante das sanções, o que significa que uma mesma empresa, ou grupo, poderá sofrer mais de uma sanção administrativa por infração. O §1º do art. 52 estabelece contempla o princípio da Ampla Defesa, determinando que as sanções só poderão ser aplicadas após o procedimento administrativo. Os 11 incisos do §1º estabelecem os critérios para o julgamento das infrações, dentre os quais o princípio da proporcionalidade, a adoção de boas práticas e governança, a adoção de medidas corretivas. A LGPD ainda determina que as sanções impostas por ela não afastam as sanções do Estatuto do Servidor Público (L 8.112/1990), da Lei de Improbidade Administrativa (L 8.429/1992) e da Lei de Acesso à Informação (L 12.527/2011).

A multa será calculada pela ANPD, com base no faturamento do ramo de atividade empresarial. Se não houver esse número, ou ele for considerado não confiável, a ANPD poderá considerar o faturamento da empresa ou do grupo de empresas infratores. Esses valores não poderão exceder o valor de R$ 50 milhões, seja na multa única, seja na multa diária, por força do art. 52, II, LGPD.

No entanto, a própria LGPD estabelece limites e determina transparência no cálculo das multas. O art. 53 estabelece que a ANPD deverá publicar os critérios de cálculo em regulamento específico, que deverá ser objeto de consulta pública. Esses critérios deverão ter ampla publicidade e devem apresentar de forma objetiva a dosimetria para o cálculo do valor-base das multas. Esse mesmo regulamento deve estabelecer os critérios de aplicação de multa única ou multa diária.

Finalmente, o art. 54 determina que o Princípio da Proporcionalidade deve ser observado na aplicação de multa diária, considerando a gravidade e o dano ocorrido; além disso, a ANPD tem o dever de fundamentar a aplicação de multa diária. A intimação da multa diária deverá conter pelo menos a descrição da obrigação imposta pela ANPD, o prazo estipulado para o cumprimento dessa obrigação e o valor diário a ser aplicado, caso a empresa não cumpra a ordem da ANPD.

No próximo post, vamos conversar sobre Inteligência Artificial, Machine Learning, processamento automatizado de dados, tomada de decisão por IA e qual a abordagem do Direito sobre isso tudo.

Até lá!

 

 

 

REFERÊNCIAS

  1. Lei Geral de Proteção de Dados BR [Internet]. Lei 13.709 Aug 14, 2018. Available from: http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709.htm
  2. Constituição da República Federativa do Brasil [Internet]. Oct 5, 1988. Available from: http://www.planalto.gov.br/ccivil_03/Constituicao/Constituicao.htm
  3. Código Civil Brasileiro [Internet]. Código Civil Brasileiro, Lei 10.406 Jan 10, 2002. Available from: http://www.planalto.gov.br/ccivil_03/LEIS/2002/L10406.htm
  4. Gagliano PS, Filho RP. Novo curso de Direito Civil: Responsabilidade Civil. 10a. Vol. 3. São Paulo: Saraiva; 2012.
  5. Gonçalves CR. Direito civil brasileiro: responsabilidade civil. 7a. Vol. 4. São Paulo: Saraiva; 2012.
  6. Lisboa RS. Manual de direito civil: direito das obrigações e responsabilidade civil. 6a. Vol. 2. São Paulo: Saraiva; 2012.
  7. Coelho FU. Curso de direito civil : parte geral. 5a. Vol. 1. São Paulo: Saraiva; 2011.
  8. Código de Processo Civil brasileiro [Internet]. Lei 13.105 Mar 16, 2015. Available from: http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2015/Lei/L13105.htm
  9. Mirza F. Processo justo: o ônus da prova à luz dos princípios da presunção de inocência e do in dubio pro reo. Rev Eletrônica Direito Process. 2010 Jun;V:540–613.
  10. Pinho HDB de. Direito processual civil contemporâneo. 4a. Vol. 1. São Paulo: Saraiva; 2012.
  11. Chagas CO. Representação da Pessoa Jurídica e a Teoria da Aparência [Dissertação de Mestrado]. [São Paulo]: Universidade de São Paulo (USP); 2010.
  12. Langheinrich M. Privacy by Design — Principles of Privacy-Aware Ubiquitous Systems. In: Abowd GD, Brumitt B, Shafer S, editors. Ubicomp 2001: Ubiquitous Computing. Berlin, Heidelberg: Springer Berlin Heidelberg; 2001. p. 273–91.
  13. van Rest J, Boonstra D, Everts M, van Rijn M, van Paassen R. Designing Privacy-by-Design. In: Preneel B, Ikonomou D, editors. Privacy Technologies and Policy. Berlin, Heidelberg: Springer Berlin Heidelberg; 2014. p. 55–72.

[1] Hipótese do art. 4º, Inciso III, alíneas A a D, combinadas com os §§ 1º, 2º e 3º.

[2] Art. 23.  O tratamento de dados pessoais pelas pessoas jurídicas de direito público referidas no parágrafo único do art. 1º da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação), deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público, desde que:

  • 4º Os serviços notariais e de registro exercidos em caráter privado, por delegação do Poder Público, terão o mesmo tratamento dispensado às pessoas jurídicas referidas no caput deste artigo, nos termos desta Lei.
  • 5º Os órgãos notariais e de registro devem fornecer acesso aos dados por meio eletrônico para a administração pública, tendo em vista as finalidades de que trata o caput deste artigo.

[3] “Documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;”

[4] Art. 41, §2º, I, LGPD

[5] Art. 41, §2º, II, LGPD

[6] Art. 41, §2º, III, LGPD

[7] Art. 41, §2º, IV, LGPD

[8] Nos termos do art.43, II.

[9] Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

  • 1º A autoridade nacional poderá dispor sobre padrões técnicos mínimos para tornar aplicável o disposto no caput deste artigo, considerados a natureza das informações tratadas, as características específicas do tratamento e o estado atual da tecnologia, especialmente no caso de dados pessoais sensíveis, assim como os princípios previstos no caput do art. 6º desta Lei.
  • 2º As medidas de que trata o caput deste artigo deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução.

Daniel Martins Vidor é jornalista formado pela UFRGS (1998)
e bacharel em Direito (Uniritter, 2007). 
Pós-graduando em European
Business Law e Human Rights for Open Societies.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *