Por Rebeca Juncks, Gabriela Vargas e Diogo Nogueira*
A Lei Geral de Proteção de Dados Pessoais (LGPD), n° 13.709 de 14 de agosto de 2018, entrou em vigor em 18 de setembro de 2022. O período de quatro anos para entrar em vigor tem relação com controvérsias sobre a fiscalização pelo poder público, pois houve demora na criação da Autoridade Nacional de Proteção de Dados Pessoais (ANPD), bem como o argumento de que as empresas não teriam tido tempo suficiente para adequação.
A lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural (Brasil, 2018).
Para auxiliar na compreensão das dificuldades e desafios da regulação do mercado e das instituições referentes à LGPD, entrevistamos a advogada Isabella Massinelli, que trabalha com consultorias auxiliando organizações públicas e privadas com a adequação à Lei e que nos trouxe uma visão do cenário atual e da relação entre a LGPD e aspectos relativos a accountability.
Separamos alguns pontos que nos pareceram mais importantes para compartilhar, considerando a visão do legislador, das empresas e do cliente, este que é muitas vezes o mais lesado, visto o crescente número de golpes utilizando dados de usuários, como mostra o Indicador de Tentativas de Fraude da Serasa Experian.
- A LGPD inclui o “Princípio da responsabilização e da prestação de contas”. O que significa esse princípio e como se comporta nos processos das empresas, ao se implementar a Lei?
Isabella: O princípio da Responsabilização e Prestação de Contas consiste, de acordo com o art. 6º, X, da LGPD, na “demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas”.
O legislador, ao incluir esse princípio na LGPD, demonstrou a sua intenção de alertar os agentes de tratamento (incluindo as empresas) de que eles são os responsáveis pelo fiel cumprimento de todas as exigências legais para garantir todos os objetivos, fundamentos e demais princípios nela estabelecidos. E não basta somente a intenção de cumprir a Lei, é imprescindível que as medidas adotadas para tal finalidade sejam eficazes.
Isso significa que as empresas, durante todo o período em que estiverem em posse dos dados pessoais, deverão analisar a conformidade legal e implementar os procedimentos de proteção dos dados pessoais de acordo com a sua própria ponderação de riscos.
Portanto, será necessário avaliar o nível de conformidade das operações de tratamento de dados pessoais, verificar se os princípios da LGPD, especialmente o da finalidade, adequação e necessidade, estão sendo atendidos, para que não haja tratamento de dados excessivo, desnecessário ou até mesmo em desacordo com o intuito pelo qual foram coletados.
Paralelamente, a empresa também deverá adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Além disso, sobre a prestação de contas, a Lei prevê que as empresas devem manter registro das operações de tratamento de dados pessoais que realizarem e isso decorre de dois motivos: a) a Autoridade Nacional de Proteção de Dados Pessoais (ANPD) poderá requisitar informações, a qualquer momento, das operações de tratamento de dados pessoais; e b) há a possibilidade de inversão do ônus da prova a favor do titular dos dados quando verossímil a alegação, houver hipossuficiência para fins de produção de prova ou quando a produção de prova pelo titular resultar-lhe excessivamente oneroso.
Por fim, destaco que a LGPD prevê o dever das empresas de indenizar os titulares, quando, em razão do exercício de atividade de tratamento de dados pessoais, causarem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais.
- Quais as diferenças da LGPD no serviço privado e público?
Isabella: As diferenças são poucas. O setor público possui as mesmas obrigações que o setor privado em relação à LGPD. Portanto, também deve garantir a licitude do tratamento de dados pessoais, manutenção de registro dessas atividades, assegurar a transparência e a segurança das atividades de tratamento, possuir um canal de comunicação com os titulares para que os mesmos possam exercer os seus direitos, dentre outros.
A única diferença relevante entre os dois setores é que o setor público está autorizado a utilizar os dados pessoais em algumas hipóteses nas quais o setor privado não estaria, como, por exemplo, para a execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres.
- O termo accountability é utilizado vinculado à LGPD?
Isabella: O termo accountability pode ser utilizado em vinculação com a LGPD, em diversos aspectos, principalmente quando tratamos dos deveres do controlador e do operador em relação às obrigações de manutenção de registro das atividades e mitigação de riscos.
Em apertada síntese, o controlador é a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais e o operador é a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
O operador possui o dever de realizar o tratamento de dados segundo as instruções fornecidas pelo controlador de dados, inexistindo a possibilidade de realizar qualquer operação diversa daquela requerida pelo controlador. Além disso, ele deve comunicar imediatamente a ocorrência de incidentes ao controlador e deve auxiliar na apuração do incidente. Além disso, deve auxiliar o controlador com a elaboração de documentos obrigatórios (Relatório de Impacto à Proteção de Dados), destinado à ANPD.
O controlador, por sua vez, é quem deve garantir, antecipadamente e durante toda a duração do tratamento, o cumprimento das obrigações na LGPD, sendo o responsável pela licitude dessas atividades. É sobre ele que o peso recai quando tratamos de accountability.
Por isso é essencial que as atividades realizadas estejam todas mapeadas e devidamente registradas, bem como que existam boas práticas de governança.
Ademais, a Lei permite que essas duas figuras sejam responsabilizadas por qualquer dano causado a outrem, além de estarem sujeitos às sanções administrativas da ANPD.
- Como é possível trabalhar a accountability nas consultorias e no dia-a-dia das organizações?
Isabella: A accountability pode ser trabalhada de diversas formas, dentre elas:
- por meio da formalização de aditivos contratuais com os fornecedores das empresas, no qual podem ser estipuladas as responsabilidades de cada parte em relação ao uso compartilhado dos dados pessoais;
- por meio de treinamentos e formalização de termos de responsabilidade/NDAs com os colaboradores da própria empresa, a fim de definir o dever de cada indivíduo em relação às boas práticas relacionadas à LGPD;
- por meio da conscientização da empresa sobre os seus deveres referentes à LGPD e, principalmente, sobre os deveres que possui perante os titulares de dados.
Além dessas informações mais didáticas e técnicas, Isabella trocou algumas experiências referente a suas percepções no dia-a-dia das consultorias. Ela relata que percebe uma dificuldade maior em fortalecer essa cultura entre os colaboradores, principalmente no setor público, em que geralmente os cargos de gestão dos serviços são mais antigos. Muitas das funções e atividades no setor público necessitam de renovação e aprimoramento no controle de dados, à medida que as tecnologias mudam os usos das informações, há aprimoramento de processos, redução de gastos e digitalização de serviços. O setor privado, além de ser demandado a cumprir a legislação, tem mecanismos de auto regulação, incluindo investimentos e foco em clientes.
Por fim, a LGPD busca gerar maior confiabilidade dos usuários de serviços públicos e privados. Mas, além de criar um sistema de controle, faz-se necessário investir em aprendizagens para a população, para que consiga garantir seus direitos e evitar o mau uso de seus dados, seja por manipulação, fraude, crime, venda, etc. A LGPD contribui para viabilizar o cumprimento de direitos fundamentais previstos na Constituição Federal de 1988, como a proteção da privacidade, intimidade e imagem. Isoladamente, porém, a lei não dá conta do desafio da proteção dos dados pessoais. Cabe o aprimoramento contínuo do controle e da accountability de todos os envolvidos e o aprimoramento da própria lei e seus mecanismos, à medida que mudam as tecnologias e as exigências da sociedade.
REFERÊNCIAS
CONVERGÊNCIA DIGITAL (Brasil). Golpes marcam 2021 e Brasil registra mais de 4 milhões de fraudes digitais. 2022. Disponível em: https://www.convergenciadigital.com.br/Seguranca/Golpes-marcam-2021-e-Brasil-registra-mais-de-4-milhoes-de-fraudes-digitais-59482.html?UserActiveTemplate=mobile#:~:text=Golpes%20marcam%202021%20e%20Brasil%20registra%20mais%20de%204%20milh%C3%B5es%20de%20fraudes%20digitais,-Converg%C3%AAncia%20Digital%20…&text=O%20ano%20de%202021%20chegou,de%20movimenta%C3%A7%C3%B5es%20suspeitas%20no%20Brasil.. Acesso em: 10 jul. 2022.
BRASIL. Dispõe Sobre A Proteção de Dados Pessoais e Altera A Lei Nº 12.965, de 23 de Abril de 2014 (Marco Civil da Internet). Lei Geral de Proteção de Dados Pessoais (Lgpd). Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 10 jul. 2022.
PARA SABER MAIS SOBRE O TEMA:
Lei de Acesso à Informação e Lei Geral de Proteção de Dados Pessoais: Conflito ou Harmonia?
* Texto elaborado pelas acadêmicas de administração pública Rebeca Juncks, Gabriela Vargas e Diogo Nogueira, no âmbito da disciplina Sistemas de Accountability, da Udesc/Esag, ministrada pela professora Paula Chies Schommer, em 2022.