Por Fabiane Becker Facco, Julia Locks, Luciano Peters Busarello e Nickolas Andrade de Assis *
A Lei Geral de Proteção de Dados (LGPD), n° 13.709 de 14 de agosto de 2018, regulamenta os procedimentos de tratamento de dados pessoais, tanto para entes públicos, quanto para entes privados. Entende-se por tratamentos de dados quaisquer atividades relacionadas à coleta, acesso, armazenamento, processamento e compartilhamento de dados pessoais. A lei tem como objetivo garantir direitos em defesa do titular dos dados. O embasamento jurídico se dá na Constituição Federal de 1988 (CF/88), visando afirmar os direitos fundamentais de respeito à privacidade, livre desenvolvimento da personalidade, liberdade de expressão, informação, comunicação, intimidade e imagem.
Maurício Rotta, advogado especializado na área de Direito Digital e Doutor em Engenharia e Gestão do Conhecimento, em entrevista ao programa “Nas Entrelinhas”, na Rádio Udesc, afirmou que a LGPD “é uma lei de governança, que estabelece papéis e responsabilidades para todos os atores relacionados aos dados, desde os detentores até os controladores dos dados, cada qual com seus direitos e deveres”. A entrevista discute, também, a relação entre a LGPD e a Lei de Acesso à Informação (LAI), que pode ser vista no texto “Do acesso à informação à proteção de dados: um limiar entre as leis”.
Atualmente, a Lei Geral de Proteção de Dados está em vigor, com a previsão de as sanções serem aplicadas a partir de agosto de 2021.
Com a expansão da utilização dos meios digitais causado pela pandemia da Covid-19, como videoconferências e teletrabalho, tornam-se ainda mais urgentes as questões relacionadas ao tratamento dos dados pessoais. Assim, as entidades público-privadas se articulam para aprimorar processos e viabilizar a implementação das normas.
A LGPD no Brasil
Em suma, a Lei Geral de Proteção de Dados institui um regime jurídico voltado aos tratamentos de dados pessoais, sendo estes realizados por entes públicos e privados. Ressalta-se que, devido a diferenças na natureza e no objetivo final de tratamento desses, existem regimes diferenciados aplicados às pessoas jurídicas de direito privado e às pessoas jurídicas de direito público.
O capítulo IV da lei se refere especificamente ao tratamento dos dados realizado pelo Poder Público. Segundo o artigo 23, o tratamento de dados deverá atender a finalidades públicas, com respaldo no interesse público, a fim de que seja possível a execução das atribuições legais do poder público, tais como a execução de políticas públicas, a administração de serviços públicos e a administração da res pública. Porém, ressalta-se que, caso o tratamento dos dados pessoais ocorra tendo como objetivo questões relacionadas à segurança nacional, defesa nacional e defesa do Estado, não se aplicam as normas da LGPD.
No que tange à aplicabilidade da lei aos entes privados, tem-se como objetivo garantir direitos dos cidadãos. Estes podem solicitar que os dados sejam deletados, anular determinado consentimento, transferir dados para outra prestadora de serviços, dentre outras possíveis ações; destarte, assegura que a sociedade não seja prejudicada através da indevida utilização de dados pessoais. Assim, destaca-se que a LGPD está fortemente relacionada com a transparência, pois há a imprescindibilidade de publicização de como e onde os dados dos cidadãos estão sendo utilizados por instituições privadas, além de exigir o consentimento do indivíduo. Em resumo, visa garantir maior segurança para os dois lados – cidadãos e empresas.
Para regulamentar a coleta, o armazenamento e o tratamento de dados pessoais, garantir maior responsabilidade e transparência, a norma estipula regras sobre ressarcimento de dados relacionados ao seu tratamento, bem como cria a categoria de “dado sensível”, com informações sobre origem racial ou étnica, convicções religiosas, opiniões políticas, saúde ou vida sexual. Registros como esses passam a ter nível maior de proteção, para evitar formas de discriminação.
Ainda com base na lei, foram estipulados os agentes de tratamento e suas funções, sendo eles: o controlador, aquele que toma as decisões sobre o tratamento; o operador, aquele que realiza o tratamento; e o encarregado, aquele que interage com os cidadãos e com a autoridade nacional.
A Autoridade Nacional de Proteção de Dados Pessoais (ANPD) será a responsável pela regulação, orientação, fiscalização e penalização dos agentes. A instituição também contará com o Conselho Nacional de Proteção de Dados (CNPD), órgão consultivo que terá como objetivo garantir a participação da sociedade na formulação das políticas voltadas à segurança de dados. O CNPD terá 23 integrantes, sendo estes representantes da sociedade civil organizada, instituições científicas, tecnológicas e de inovação, setor empresarial, Executivo Federal, Senado Federal, Câmara dos Deputados, Conselho Nacional de Justiça, Conselho Nacional do Ministério Público e Comitê Gestor da Internet no Brasil.
Nesse contexto, as empresas estão realizando algumas ações em busca da adequação à legislação, como a revisão e a adição de cláusulas em contratos novos e vigentes, a atualização de códigos de conduta, a revisão dos sistemas de coleta e armazenamento de dados para garantia de acesso restrito, o bloqueio de furtos ou perda de dados, a revisão da política de segurança de dados e o treinamentos aos funcionários.
Além disso, elas devem seguir todas as bases legais e os princípios que se enquadram na LGPD, ou seja, precisam atender a todos os requisitos necessários para o tratamento de dados. Essas bases legais são orientações gerais que autorizam a atividade de tratamento de dados por parte de uma organização.
Os adiamentos e atrasos acerca da aprovação e implementação da nova Lei
Idealizada durante o governo do Partido dos Trabalhadores (PT) e aprovada na gestão Michel Temer (PMDB), a LGPD compôs uma disputa no Congresso Nacional. A lei estava prevista para entrar em vigor em agosto de 2020, contudo, o governo tentou editar uma medida provisória, sem sucesso, que visava adiar a vigência para maio de 2021. O objetivo do adiamento era contemplar os pedidos de pequenas e médias empresas que teriam uma maior dificuldade de se adequar às regras em meio à pandemia do coronavírus.
Após tal fato, a Câmara dos Deputados aprovou a letra com prazo ínfero, tendo vigência para o final do ano de 2020, porém, o Senado Federal rejeitou a proposta deste dispositivo legal. Por fim, o então presidente Jair Bolsonaro sancionou o texto da medida provisória após esta sair do Senado, sem adiamento. Isto posto, a lei passou a valer em setembro de 2020. Por consequência disso, cabe às instituições privadas adequarem-se às novas exigências.
Outras discussões são cogitadas acerca da LGPD, pois as punições em caso de desrespeito e descumprimento da lei não estão valendo ainda, além do fato que o órgão responsável por fiscalizar tais ditames não está completamente institucionalizado.
Ainda sim, de modo a amparar as empresas, as punições por desobediência à LGPD só serão aplicadas a partir de agosto deste ano. Até lá, é esperado que a Autoridade Nacional de Proteção de Dados (ANPD) já esteja em funcionamento.
O presidente da república Jair Bolsonaro editou, em agosto de 2020, o decreto que estipula a disposição e os cargos da agência. Além de indicar cinco conselheiros, que passarão por uma sabatina no Senado, o governo deve apontar qual será a sede da ANPD, seu orçamento, seu expediente, quantos e quais serão seus servidores.
O exemplo da empresa Statkraft Brasil
Com o objetivo de exemplificar o processo de adequação da LGPD por parte de empresas, traz-se à baila o caso da Statkraft Brasil. As informações a seguir têm como base uma apresentação sobre a implantação da LGPD na empresa, realizada por uma de suas representantes, a convite dos graduandos de administração pública da Udesc Esag, em fevereiro de 2021.
A Statkraft é uma empresa norueguesa, geradora de energia hidrelétrica, eólica, solar e a gás. Atualmente é a maior geradora de energia renovável da Europa e está presente também no Brasil, onde controla 18 ativos em 6 estados.
A companhia pode ser vista como uma boa prática no que tange a adaptação à Lei Geral de Proteção de Dados, posto que, ao longo de 2020, realizou uma série de ações tendo como objetivo garantir a adequação à legislação.
Segundo Ivy von Kurrle, especialista na Statkraft em Compliance e Data Protection Officer, devido à origem da empresa ser norueguesa, foi também utilizada como base a General Data Protection Regulation – GDPR (Regulamento Geral sobre a Proteção de Dados), regimento do direito europeu sobre a privacidade e proteção de dados pessoais.
O ponto de partida principal para a implementação da LGPD na empresa foi a identificação das bases legais, requisito imprescindível para viabilizar o tratamento de dados nas organizações. Bases legais constituem as hipóteses para o tratamento de dados pessoais. Na lei, essas bases estão especificadas no artigo 7, tendo dez diferentes categorias, como por exemplo, Consentimento e Legítimo Interesse. Ainda, foi essencial o alinhamento aos princípios da LGPD, os quais têm como objetivo delimitar o tratamento de dados, de maneira que apenas as informações essenciais sejam coletadas, além de assegurar proteção aos dados, garantir informações aos titulares destes e salvaguardar a aplicação da lei.
Ivy aponta que, inicialmente, foi realizado um mapeamento dos processos internos a fim de identificar quais áreas utilizam dados pessoais, de quem são esses dados, quais os sistemas envolvidos na armazenagem, se é feita a transferência dessas informações e, principalmente, visando enquadrar o tratamento dos dados nas bases legais e nos princípios definidos pela legislação.
Como exemplo de um processo mapeado na Statkraft que requer o tratamento de dados, tem-se o monitoramento realizado por câmeras de segurança no edifício da companhia. Este, por ser caracterizado pela coleta e armazenamento de imagens pessoais, requer enquadramento em alguma das bases legais previstas na lei. Segundo Ivy, este caso é enquadrado na base do Legítimo Interesse, porque a empresa tem o legítimo interesse em garantir a segurança de seus colaboradores.
Assim, a partir dos resultados obtidos no mapeamento realizado, foram implementadas algumas mudanças nos processos, criadas novas cláusulas referentes à LGPD para os contratos vigentes e também para os novos, além da criação de termos de consentimento. Como exemplo, para garantir o consentimento dos indivíduos em relação à coleta e armazenamento dessas informações, foi criado pelas áreas Jurídico e Compliance, uma Declaração de Privacidade de Dados para Terceiros. Esta declaração foi enviada a todas as contratadas da companhia das quais se fazia necessária algum tipo de tratamento de dados pessoais.
Ainda, devido a expertise da equipe de Compliance da empresa, foram realizados treinamentos, campanhas e workshops para os funcionários da Statkraft e também para terceiros, a fim de conscientizá-los acerca da importância do tema e a necessidade de alteração no modus operandi de alguns processos.
Atualmente, muitas empresas estão buscando se adequar à nova lei de forma ágil e assertiva, como é o caso da Statkraft. Mesmo que as sanções para o não cumprimento da lei ainda não estejam em vigor, os titulares de dados pessoais já podem exigir seu cumprimento, com pedidos de esclarecimentos, correções e exclusões de informações. Assim, quanto mais rápida e efetivamente as organizações se adequarem à lei, menos riscos correrão.
Por fim, a LGPD representa um importante avanço no que tange à garantia de direitos dos cidadãos, numa sociedade cada vez mais conectada, que fornece informações pessoais constantemente e que pode acabar se tornando suscetível à adversidades, a exemplo do vazamento de dados de mais de 200 milhões de brasileiros, ocorrido em janeiro de 2021. Assim, a lei é importante pois viabiliza a proteção da privacidade, intimidade e imagem, direitos fundamentais previstos pela Constituição Federal.
* Texto elaborado pelos acadêmicos de administração pública Fabiane Becker Facco, Julia Locks, Luciano Busarello e Nickolas Assis, no âmbito da disciplina Sistemas de Accountability, da Udesc Esag, ministrada pela professora Paula Chies Schommer, com a mestranda Bárbara Ferrari, entre 2020 e 2021.
REFERÊNCIAS
10 bases legais da LGPD: Quais são? Disponível em: https://legalcloud.com.br/bases-legais-lgpd/ Acesso em 25 de fev de 2021
BRASIL. Câmara dos Deputados Federais. PROJETO DE LEI N.º 1.485 e PROJETO DE LEI N.º 1.875 (Apensado) de 2020. Modifica o Decreto 2.484 de 7 de dezembro de 1940. Brasília, 11 de abril de 2020. p. 7. Disponível em: https://www.camara.leg.br/proposicoesWeb/prop_mostrarintegra;jsessionid=D020AA546F28E4A314A757C1A0EDAC9C.proposicoesWebExterno1?codteor=1912861&filename=Avulso+-PL+1485/2020. Acesso em: 11 de mar. de 2021.
LGPD Reforça Proteção de Direitos Individuais. Disponível em: https://www.lgpdbrasil.com.br/lgpd-reforca-os-avancos-na-protecao-de-direitos-individuais/ Acesso em: 25 de mar. de 2021.
LGPD Em vigor: o que muda para a Administração Pública. Disponível em: http://site.serjusmig.org.br/noticia/6122/lgpd-em-vigor-o-que-muda-para-a-administracao-publica#:~:text=Esse%20mesmo%20regime%20jur%C3%ADdico%20de,%2C%20par%C3%A1grafo%20%C3%BAnico%2C%20LGPD. Acesso em: 25 de fev de 2021.
Quem vai regular a LGPD? Disponível em: https://www.serpro.gov.br/lgpd/governo/quem-vai-regular-e-fiscalizar-lgpd Acesso em 27 de mar de 2021
Veja também:
Doando petróleo na internet: por que proteger meu CPF?