32
Ínicio
>
Artigos
>
Direito Digital
>
Doutrina
>
Revista Forense
ARTIGOS
DIREITO DIGITAL
DOUTRINA
REVISTA FORENSE
Revista Forense – Volume 429 – LGPD: cuidados na implementação, Lygia Maria Moreno Molina Henrique
BASES LEGAIS PARA TRATAMENTO DE DADOS
BRAZILIAN GENERAL DATA PROTECTION LAW: CONSIDERATIONS ABOUT THE IMPLEMENTATION
Revista Forense
30/06/2019
Volume 429 – ANO 115
JANEIRO – JUNHO DE 2019
Semestral
ISSN 0102-8413
FUNDADA EM 1904
PUBLICAÇÃO NACIONAL DE DOUTRINA,
JURISPRUDÊNCIA E LEGISLAÇÃO
FUNDADORES
Mendes Pimentel
Estevão Pinto
Edmundo Lins
DIRETORES
José Manoel de Arruda Alvim Netto (Pontifícia Universidade Católica de São Paulo)
Eduardo Arruda Alvim (Pontifícia Universidade Católica de São Paulo/FADISP)
SUMÁRIO VOLUME 429
Abreviaturas e siglas usadas
Conheça outras obras da Editora Forense
HISTÓRIA DO DIREITO
- DOUTRINA – Da unidade ou pluralidade de vinculos na obrigação solidaria – Revista Forense – Volume I – 1904.
- TRADUÇÕES – Decisões constitucionaes de Marshall – Revista Forense – Volume I – 1904.
- JULGADOS – Jurisprudencia civil e commercial – Pactum de Non Alienando – Revista Forense – Volume I – 1904.
- PARECERES – Dolo – silêncio intencional – dação em pagamento – Túllio Ascarelli – 21/12/1944 – Revista Forense – Volume CIV outubro de 1945
DOUTRINAS
A. Direito Administrativo
- TEORIAS ECONÔMICAS DA REGULAÇÃO – Flavine Meghy Metne Mendes
- A CONTRATAÇÃO DE PARENTE PARA O EXERCÍCIO DE CARGO POLÍTICO SEGUNDO A JURISPRUDÊNCIA DO SUPREMO TRIBUNAL FEDERAL – Marinês Restelatto Dotti
B. Direito Civil
- BASES CONSTITUCIONAIS DA FUNÇÃO SOCIAL DA PROPRIEDADE À LUZ DA ECONOMIA COMPARTILHADA – Thomas Augusto Ferreira de Almeida e Danielle Portugal de Biazi
- DA ALIENAÇÃO DE IMÓVEIS DA UNIÃO – Diogo Üebele Levy Farto
- NOTAS SOBRE O CONTEÚDO DOS DIREITOS-EFICÁCIA – Marcos Bernardes de Mello
- AQUISIÇÃO E PERDA DA POSSE – Rogério Ribeiro Domingues
- TEORIA DO ADIMPLEMENTO SUBSTANCIAL. COMENTÁRIOS SOBRE O RECENTE JULGADO DO STJ (RESP Nº 1.622.555/MG) – Rogério Zuel Gomes
C. Direito do Trabalho
D. Direito Processual Civil
- MEDIDAS INDUTIVAS NO NOVO CÓDIGO DE PROCESSO CIVIL: APLICABILIDADE E LIMITES DO ART. 139, INCISO IV, DO CÓDIGO DE PROCESSO CIVIL – Allan Wellington Volpe Vellasco
- GRATUIDADE DA JUSTIÇA: REQUISITO DE ACESSO À JUSTIÇA E INSTRUMENTO DE PROMOÇÃO DA IGUALDADE E DA CIDADANIA DO TRABALHADOR – Dione Almeida Santos
- FUNÇÃO PARADIGMÁTICA DO SUPREMO TRIBUNAL FEDERAL E DO SUPERIOR TRIBUNAL DE JUSTIÇA – Eduardo Arruda Alvim e Eduardo Aranha Ferreira
- CONEXÃO, CONTINÊNCIA, LITISPENDÊNCIA E QUESTÃO PREJUDICIAL – José Américo Zampar Júnior
- A EFETIVAÇÃO DAS TUTELAS PROVISÓRIAS CONCEDIDAS NO CURSO DA ARBITRAGEM POR MEIO DO INSTITUTO DE COOPERAÇÃO DA CARTA ARBITRAL – Mariana Souza Baroni
- CLÁUSULAS GERAIS E CONCEITOS VAGOS – O DIREITO PROCESSUAL COMO SISTEMA DE APLICAÇÃO E CONTROLE – Viviane Rosolia Teodoro
E. Direito Tributário
- AÇÃO DE REPETIÇÃO DE INDÉBITO TRIBUTÁRIO – ASPECTOS FUNDAMENTAIS – Rennan Faria Krüger Thamay, Daniel Octávio Silva Marinho e Angelo Roncalli Osmiro Barreto
- O SISTEMA TRIBUTÁRIO-ORÇAMENTÁRIO BRASILEIRO: UMA INTRODUÇÃO – Julio Pinheiro Faro Homem de Siqueira e Daury César Fabriz
F. Caderno Especial – Direito Digital e Inovação Tecnológica – Coordenador Marcelo Chiavassa de Paula Lima
- DISCURSO DE ÓDIO NA REDE – Andressa Loli Bazo e Marcelo Chiavassa de Mello Paula Lima
- VENDA CELEBRADA PELA INTERNET – Daniela Porto Vieira
- LGPD: CUIDADOS NA IMPLEMENTAÇÃO – Lygia Maria Moreno Molina Henrique
ESTUDOS E COMENTÁRIOS
- O PLANEJAMENTO SUCESSÓRIO NAS EMPRESAS FAMILIARES – Abdiel Nascimento Ciprian
- AMPLIAÇÃO SUBJETIVA DO PROCESSO E RECONVENÇÃO – Fredie Didier Jr. e Paula Sarno Braga
- A TUTELA ANTECIPADA ANTECEDENTE REPRESENTOU AVANÇO? – Abner Teixeira de Carvalho
ESTUDOS DE CASOS E JULGADOS
- PRESCRIÇÃO E PRECLUSÃO. INTERRUPÇÃO DA PRESCRIÇÃO POR ATO DO DEVEDOR. LITIGÂNCIA DE MÁ-FÉ. (AVALIAÇÃO DE UM CASO CONCRETO) – Humberto Theodoro Júnior
- RECURSO ESPECIAL Nº 1.149.487 – RJ (2009/0132773-3)
LEIA O ARTIGO:
LYGIA MARIA MORENO MOLINA HENRIQUE
Possui graduação e mestrado em Direito pela Pontifícia Universidade Católica de São Paulo (PUC/SP). Advogada com experiência em Direito Civil, Direito do Consumidor, Direito Digital, Tecnologia e Proteção de Dados. Possui as certificações da EXIN: Exin Privacy anda Data Protection Essentials (LGPD) e Exin Privacy anda Data Protection Foundation (GDPR).
Resumo: Este artigo tem como objetivo abordar os principais pontos de atenção do processo de adequação à Lei Geral de Proteção de Dados Pessoais (LGPD). De forma reflexiva, são analisadas questões pertinentes ao tema e ao momento atual (antes do início de vigência da lei), iniciando, com considerações acerca da formação desta legislação, os seus pontos de destaque e como estes devem ser trabalhados em um processo de adequação, em um compliance. Em seguida, é abordada a temática da confiança da marca e como esta se relaciona com a proteção de dados pessoais. Nesse sentido, são sugeridas ações e ferramentas essenciais ao compliance e à confiabilidade da empresa, como boas práticas e certificações. Ao final, são sintetizadas as posturas que as empresas devem assumir frente perante as principais necessidades a serem cumpridas neste processo de adequação à norma.
Palavras-chave: Proteção de dados pessoais. Processo de Adequação. Compliance. Consentimento. Legítimo Interesse. Bases legais para tratamento de dados. Princípio da Transparência. Confiança da marca. Boas práticas. Certificações. Fluxo de dados pessoais.
Abstract: This paper has as its objective indicates the main points of attention about process of adaptation to the General Law of Protection of Personal Data (LGPD). Reflectively, issues relevant to the topic and to the current moment (before the law comes into effect), are analyzed, starting with considerations about the formation of this legislation, its highlights and how they should be worked on in a process of adequacy, in a compliance. Next, it will be object of study the theme of brand trust and how its relates to the protection of personal data. In this sense, actions and tools essential to compliance and to increase the reliability of the company, such as bests practices and certifications are suggested. At the end, the positions that the companies must assume in relation to the main needs to be fulfilled in this process of compliance with the standard are synthesized.
Keywords: Personal data protection. Process of Adequacy. Compliance. Consent. Legitimate interest. Legal basis for data processing. Principle of Transparency. Brand confidence. Best practices. Certifications. Flow of personal data.
Sumário: Introdução. Conclusão. Referências bibliográficas.
1. Introdução
Antes de entrarmos no tema propriamente dito, convém realizar breve digressão, sobre a própria Lei Geral de Proteção de Dados Pessoais (LGPD – L. 13709/18) e a sua formação. A LGPD é uma norma que foi construída em conjunto com a sociedade e levou em consideração os direitos dos cidadãos, bem como a necessidade de impulsionar a livre-iniciativa e a concorrência pela livre circulação de dados. É uma legislação que vem a suprir o desejo do mercado de segurança jurídica na atividade de tratamento de dados pessoais.
Isso, pois, a realidade atual, prévia ao início de vigência da lei, é de legislações esparsas, o tema de proteção de dados é tratado sob diversos aspectos por legislações específicas. Além disso, o cenário no tocante à fiscalização é de pulverização, já que em face da espera de uma Autoridade Nacional, que centralize em sua figura esta atuação, as autoridades de defesa do consumidor passam a ser uma via para a tutela da proteção de dados pessoais.
Via esta, diga-se de passagem, inadequada, e que poderá pela estrutura do próprio Sistema Nacional de Defesa do Consumidor contribuir para interpretações distintas, retomando a insegurança jurídica; para a multiplicação de sanções e, em alguns casos em que os órgãos de defesa do consumidor têm como receita parte das sanções impostas, criando incentivos a uma tutela reparatória, e não preventiva.
Este ponto torna necessário o aprimoramento da LGPD e a criação da Autoridade Nacional de Proteção de Dados (chamada ANPD), como uma autoridade independente, que concentre em suas funções a aplicação e interpretação da LGPD, a fim de dar concretude a esta norma e zelar pela segurança jurídica que esta trouxe às empresas brasileiras e aos cidadãos, no tocante aos seus direitos.
Considerando o texto da lei já aprovado e a necessidade de as empresas não esperarem pela criação da ANPD, isto é, da fiscalização para se adequar, já que se trata de um processo longo que, necessariamente, passará por todos os setores e departamentos das empresas que tratam dados pessoais, como marketing, vendas, recursos humanos, cadastros de clientes, entre outros; cumpre destacar e dar ênfase a dois artigos da Lei, que são os que norteiam todo o restante do texto: arts. 6º (referente aos princípios) e 7º (que enumera as bases legais de tratamento).
Como princípios eleitos pela LGPD, tem-se:
- finalidade: segundo o qual o tratamento de dados deve ter um propósito legítimo específico, de modo que finalidades genéricas, não devam ser aceitas, e o tratamento não seja realizado de forma diversa da finalidade informada. Ou seja, caso a destinação a ser dada ao dado em momento posterior seja diversa da divulgada, será necessário coletar novo consentimento, desde que esta tenha sido a base legal utilizada;
- adequação: este princípio traz a necessidade de o tratamento de dados pessoais estar de acordo com as finalidades informadas ao titular de dados;
- necessidade: somente tratar o mínimo de dados necessários para a consecução da finalidade divulgada. Ou seja, não é possível coletar dados com a mera expectativa de utilizá-los no futuro para uma finalidade ainda não prevista;
- livre acesso: conceder aos titulares de dados a possibilidade de consultar seus dados na íntegra e ter informações sobre a forma e duração do tratamento. O titular de dados tem direito de saber sobre a existência do tratamento de seus dados pessoais e como estes foram coletados, tratados, com quem poderão ser compartilhados e até quando serão tratados;
- qualidade: garantia aos titulares da exatidão, clareza e atualização dos dados para a consecução da finalidade. Deste princípio é que advém o direito à retificação dos dados;
- transparência: conceder aos titulares informações claras, precisas e acessíveis sobre o tratamento de dados pessoais. Exemplo já foi considerado pela Autoridade Francesa de Proteção de Dados Pessoais que o Google não seria transparente, pois a informação relevante somente estava acessível ao titular de dados após vários passos, implicando por vezes até 5 ou 6 ações por parte deste[1];
- segurança e prevenção: adoção de medidas técnicas e administrativas aptas a tutelar os dados pessoais de situações acidentais e ilícitas, bem como aptas a prevenir danos;
- não discriminação: não realizar tratamento para fins discriminatórios. Possibilidade que pode ocorrer em casos de decisões realizadas por algoritmos, por isso, a importância de a LGPD manter a revisão de tais decisões;
- responsabilização e prestação de contas: demonstração pelo agente de medidas capazes a comprovar o cumprimento das normas de proteção de dados pessoais. Ex.: em caso de coleta de dados mediante o consentimento, faz-se necessário comprovar com registros este consentimento, tenha este sido dado online ou off-line.
Além dos princípios norteadores de todo o texto legislativo, um bom compliance deve passar, necessariamente, pelo conhecimento a fundo das bases legais para tratamento de dados trazidas pela LGPD, pois sem a presença de uma destas condições, o tratamento de dados, torna-se ilícito, além disso, faz-se necessário conhecê-las, minuciosamente, a fim de escolher a melhor base legal a ser empregada caso a caso.
Apesar de o consentimento ser tido como uma das bases mais seguras, em razão da guarda de registros que a comprove, nem sempre é a mais adequada e, como se verá, o seu uso demasiado e em situações em que não seja a mais indicada poderá levar a uma tutela ilusória.
O art. 7º enumera as seguintes bases legais:
- Consentimento livre, informado e inequívoco;
- Em cumprimento de obrigação legal ou regulatória. Ex.: guarda de registros de aplicação e conexão – arts. 13 e 15, da Lei 12.965/14 (Marco Civil da Internet);
- pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas;
- para a realização de estudos por órgãos de pesquisa;
- quando necessário para execução de contrato ou procedimentos preliminares relacionados a contrato;
- para exercício regular de direitos em processo judicial, administrativo ou arbitral;
- para proteção da vida ou incolumidade física do titular ou de terceiro;
- para a tutela da saúde ou por entidades sanitárias;
- quando necessário para atender aos interesses legítimos do controlador ou de terceiros, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção de dados pessoais;
- proteção ao crédito.
Nos parágrafos do referido artigo, ainda, resta claro que não será exigido o consentimento quando os dados foram tornados manifestamente públicos pelo titular, desde que resguardados os direitos do titular e os princípios da lei. Em caso de acesso público aos dados deve, ainda, ser considerada a finalidade pela qual o dado foi cedido, a boa-fé e o interesse público envolvido.
Interessante pontuar que alguns dados, apesar de estarem acessíveis em sites do governo e disserem respeito à vida pública, não possuem acesso irrestrito, pelo contrário, o seu acesso demanda a combinação de dois ou mais dados, o que pode ser considerado um demonstrativo de que esta hipótese não estaria abarcada pelas hipóteses legais transcritas nos parágrafos.
O Compliance e as Bases Legais de Proteção de Dados
A definição de consentimento já fora muito esmiuçada pelo Grupo de Trabalho do artigo 29, instituído pela Diretiva 95/46/CE que fora revogada pelo GDPR (Regulamento Europeu de Proteção de Dados Pessoais). Muito embora, a Diretiva tenha sido revogada, todas as interpretações e pareceres emitidos pelo Grupo ainda se mostram atuais e passíveis de aplicação.
Assim, convém destacar alguns pontos do Parecer 15/2011, do respectivo Grupo de Trabalho que sobre a definição de consentimento livre, explica que:
“O consentimento apenas será válido se a pessoa em causa puder exercer uma verdadeira escolha e não existir nenhum risco de fraude, intimidação, coação ou consequências negativas importantes se o consentimento for recusado. Se as consequências do consentimento comprometerem a liberdade de escolha da pessoa, o consentimento não será livre”[2].
Como exemplo de consentimento não considerado livre, temos a orientação recente da Autoridade Nacional de Dados Holandesa de que a prática de bloqueio do acesso a sites após a recusa, pelo usuário, a cookies de rastreamento não estaria em consonância com o GDPR[3].
A orientação veio em resposta a dezenas de reclamações de usuários da internet, que se depararam com esta situação. De acordo com a Autoridade, agrupar diversos tipos de cookies em um único consentimento (cookies funcionais, cookies de análise de sites e cookies de publicidade de terceiros sob uma única opção) não seria escolha livre, mas sim uma forma de obrigar e direcionar o titular de dados a optar pela concordância, pois, do contrário, a navegação seria bloqueada.
Assim, para que houvesse escolha livre, o consentimento deveria ser dado por tipos de cookies e ferramentas de rastreamento, em separado. Esta já é a prática de alguns sites europeus e, inclusive, brasileiros; a título de exemplo, o site francês da concessionária Renault possibilita não concordar com cookies de redes sociais, cookies de publicidade e cookies que medem audiência, a saber:
Ademais, o site da Shell, no Brasil, demonstra outro exemplo de plataforma que possibilita gerenciar as ferramentas de rastreamento, detalhadas por parceiros, sendo ainda mais transparente que o site europeu, ora exemplificado, a saber:
O consentimento, pela LGPD, ainda deve ser informado, o que significa, à luz do parecer do Grupo de Trabalho do art. 29, que
(…) o consentimento da pessoa em causa (deve ser) baseado numa apreciação e compreensão dos fatos e implicações de uma ação. A pessoa em causa deve receber, de forma clara e compreensível, informações exatas e completas sobre todas as questões pertinentes, (…) como a natureza dos dados tratados, as finalidades do tratamento, os destinatários das eventuais transferências e os seus direitos. Isto implica igualmente a consciência das consequências do não consentimento do tratamento em questão.
(…) Podem ser identificados dois tipos de exigências com vista a assegurar a adequação da informação: Qualidade da informação – a forma como a informação é prestada (em texto simples, sem uso de gíria, compreensível, evidente) é crucial para avaliar se o consentimento é “informado”. (…) Acessibilidade e visibilidade da informação – a informação deve ser prestada diretamente às pessoas. Não basta que a informação esteja “disponível” num qualquer local[4].
Pois bem, o caso recente do Google, que fora multado em 50 milhões de euros pela Autoridade de Proteção de Dados Pessoais Francesa (CNIL), como já comentado, demonstra, justamente, a infração à esta exigência normativa do consentimento informado, vez que a informação prestada, como julgou a Autoridade, não era acessível ou de fácil visualização, exigia esforço demasiado do titular de dados para saber sobre os termos do tratamento de dados com o qual consentia[5].
Deve, ainda, o consentimento se mostrar como inequívoco e, para tanto, conforme entendimento do Grupo de Trabalho do art. 29:
(…) o procedimento para obter e prestar este mesmo consentimento não pode dar azo a qualquer dúvida quando à intenção da pessoa de dar o seu consentimento. Dito de outro modo, a manifestação pela qual a pessoa aceita que os seus dados sejam objeto de tratamento deve ser inequívoca quanto à sua intenção. Se existir uma dúvida razoável quanto à intenção da pessoa, existirá ambiguidade[6].
Dessa forma, considerando, ainda, o caso do Google já delineado, o consentimento realizado não poderia ser entendido como inequívoco ou explícito, visto que algumas caixas de diálogo estavam previamente selecionadas, o que coloca em dúvida a vontade do titular em consentir com aqueles termos.
Convém, no entanto, fazer a ressalva de que o consentimento, como já explicitado, é apenas uma das bases legais e deve ser utilizado com parcimônia, preferencialmente, quando não houver outra base legal em que o tratamento de dados possa ser atrelado, do contrário, o uso exacerbado e recorrência de consentimentos desestimulará o titular de dados pessoais, de modo que este passe a tão somente consentir para seguir com a experiência desejada, sem tomar a devida consciência do conteúdo do seu consentimento, sem que este tenha, então, cunho de informado, inequívoco e livre, tornando, nesse sentido, ilusória a referida tutela de dados pessoais.
Nessa linha, Woodrow Hartzog, em evento denominado “Diálogo Global sobre Privacidade”, ocorrido em 06 e 07 de outubro de 2015, em Brasília, observou que usar o consentimento em demasia é acabar com o seu sentido e concluiu que o consentimento é muito valioso para se tornar banal.
Desse modo, para estar mais próximo do compliance, as empresas devem dar ao consentimento o seu real valor, evitando torná-lo insignificante por uma busca incessante à guarda de registros e segurança jurídica; as empresas devem utilizá-lo quando necessário for, quando o tratamento de dados não puder ser amparado por outra base legal, subsidiariamente.
Considerando esse entendimento, ganha relevância no processo de compliance, outra base legal, a do legítimo interesse, a qual ainda carece de detalhamento em regulamento próprio pela Autoridade Nacional de Proteção de Dados, mas já pode ser utilizada pelas hipóteses expressas no art. 10 e de acordo com os parâmetros estabelecidos pelo art. 7º. Isto é, para (i) apoio e promoção de atividades do controlador (agente de tratamento de dados que possui decisão sobre o tratamento); (ii) para a proteção do titular de dados pessoais e para a prestação de serviços que beneficiem, desde que respeitadas as legítimas expectativas do titular, seus direitos e garantias fundamentais.
A DMA (Data & Marketing Association) divulgou algumas diretrizes[7] a fim de nortear a utilização desta base legal, seriam estas:
- Ter um relacionamento anterior com o titular de dados;
- Não infringir direitos e garantias individuais do titular (sopesar o legítimo interesse com os direitos);
- O tratamento estar dentro das expectativas razoáveis do indivíduo (previsibilidade); e, (ex. o titular adquire um carro e recebe uma oferta de seguro para este ou de algum item relacionado e cuja a finalidade do compartilhamento seja previsível pela natureza da compra)
- Disponibilizar opção de recusa/cancelamento do tratamento ao titular.
Estes parâmetros foram inspirados nos considerandos 47 e 48 do GDPR[8], os quais igualmente classificam a fraude, o tratamento para fins de comercialização direta e a transmissão de dados pessoais entre empresas de um mesmo grupo para fins administrativos internos como legítimo interesse. Além disso, o GDPR neste mesmo “considerando” alerta para a necessidade de realização de “avaliação cuidada” perante o uso desta base legal, a saber:
(47) Os interesses legítimos dos responsáveis pelo tratamento, incluindo os dos responsáveis a quem os dados pessoais possam ser comunicados, ou de terceiros, podem constituir um fundamento jurídico para o tratamento, desde que não prevaleçam os interesses ou os direitos e liberdades fundamentais do titular, tomando em conta as expectativas razoáveis dos titulares dos dados baseadas na relação com o responsável. Poderá haver um interesse legítimo, por exemplo, quando existir uma relação relevante e apropriada entre o titular dos dados e o responsável pelo tratamento, em situações como aquela em que o titular dos dados é cliente ou está ao serviço do responsável pelo tratamento. De qualquer modo, a existência de um interesse legítimo requer uma avaliação cuidada, nomeadamente da questão de saber se o titular dos dados pode razoavelmente prever, no momento e no contexto em que os dados pessoais são recolhidos, que esses poderão vir a ser tratados com essa finalidade. Os interesses e os direitos fundamentais do titular dos dados podem, em particular, sobrepor-se ao interesse do responsável pelo tratamento, quando que os dados pessoais sejam tratados em circunstâncias em que os seus titulares já não esperam um tratamento adicional. Dado que incumbe ao legislador prever por lei o fundamento jurídico para autorizar as autoridades a procederem ao tratamento de dados pessoais, esse fundamento jurídico não deverá ser aplicável aos tratamentos efetuados pelas autoridades públicas na prossecução das suas atribuições. O tratamento de dados pessoais estritamente necessário aos objetivos de prevenção e controlo da fraude constitui igualmente um interesse legítimo do responsável pelo seu tratamento. Poderá considerar-se de interesse legítimo o tratamento de dados pessoais efetuado para efeitos de comercialização direta.
(48) Os responsáveis pelo tratamento que façam parte de um grupo empresarial ou de uma instituição associada a um organismo central poderão ter um interesse legítimo em transmitir dados pessoais no âmbito do grupo de empresas para fins administrativos internos, incluindo o tratamento de dados pessoais de clientes ou funcionários. Os princípios gerais que regem a transmissão de dados pessoais, no âmbito de um grupo empresarial, para uma empresa localizada num país terceiro mantêm-se inalterados[9].
Tendo em vista a necessidade de avaliação e considerando o dever de cumprir com o princípio da prestação de contas, recomenda-se que este tipo de base legal seja utilizada mediante o arquivamento, na própria empresa, de um Relatório de Impacto à Proteção de Dados Pessoais, em que fique registrado todo o raciocínio e embasamento jurídico para a utilização da referida base legal.
Em relação à atuação das empresas no tocante à proteção de dados pessoais, muito se discute sobre o empoderamento e controle do titular de dados pessoais em face do tratamento realizado. Faz-se relevante refletir, como já pincelado, se o compliance estruturado no excesso de “consentimento”, realizado com vistas a suprir a ânsia desenfreada por quaisquer registros que possam ser utilizados em determinada fiscalização, é suficiente a conceder o devido controle aos titulares de dados sobre estes.
Parece que não. Sendo assim, além da utilização e consideração no próprio compliance das demais bases legais para o tratamento de dados pessoais, ganham relevância ferramentas que concedem às empresas confiabilidade e certificam que as declarações realizadas por estas são mais do que transparentes, são honestas.
A confiança como um diferencial no processo de compliance
O estudo global Future Focus de 2019, realizado pela Iprospect, em que foram entrevistados mais de 300 profissionais de marketing e líderes globais em um amplo espectro de marcas, denota que a busca pela confiança deve ser o principal objetivo das marcas, em razão dos seguintes pontos[10]:
- Somente 26% acreditam que as empresas são transparentes no uso de seus dados pessoais;
- 88% dos gestores de marketing entrevistados tem a confiança de marca como sua prioridade para 2019;
- 76% afirmam também que a confiança é importante para manter seus clientes consumindo sua marca.
Explicando a pesquisa, afirma Bruno Mosconi, diretor geral da iProspect Brasil que:
À medida que a tecnologia borra mais a linha entre troca de informações e de bens/serviços, a confiança do consumidor se torna ainda mais primordial. Confiança já não é mais apenas uma questão, mas sim a questão.
O Future Focus aponta que a confiança está baseada em três pilares principais: Credibilidade, Relevância e Confiabilidade. O estudo mostra também que cada pilar ganhou contornos novos, diante de um cenário de comunicação hipersensível.
Ferramentas essenciais ao desenvolvimento do Compliance em Proteção de Dados Pessoais
E quais ferramentas existem para que a busca da confiança em relação à proteção de dados seja bem-sucedida? Sem a pretensão de esgotar o tema, em face do que dispõe a LGPD, levando-se em conta o texto do GDPR e entendimentos divulgados por Autoridades Europeias, podem-se citar algumas delas, como: a implementação de boas práticas empresariais que reflitam realmente a mudança cultural exigida pela legislação; certificações e utilização de padrões respeitados internacionalmente.
Sobre certificações o European Data Protection Board, espécie de grupo de trabalho criado pelo GDPR, elaborou uma orientação em que incentiva a certificação com a finalidade de demonstrar a aplicação de salvaguardas apropriadas pelos controladores ou operadores de dados com o intuito de cumprir com o exigido pelo GDPR, evitando e prevenindo violações de dados pessoais[11].
Quanto às boas práticas, a Lei Geral de Proteção de Dados Pessoais, a exemplo do GDPR, incumbiu-se de criar padrões mínimos, exigindo que a implementação do Programa de Privacidade:
- demonstre o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais;
- seja aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo como se realizou sua coleta;
- seja adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados;
- estabeleça políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade;
- tenha o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular;
- esteja integrado a sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos;
- conte com planos de resposta a incidentes e remediação; e
- seja atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas.
Nesse sentido, seguem algumas sugestões de ações para adaptação:
- Identificar e mapear todos os fluxos de dados, em sua integralidade (coleta, tratamento, compartilhamento, exclusão);
- Elaborar Relatório de Impacto de Proteção de Dados;
- Utilização de medidas técnicas aptas a proteger os dados de acessos não autorizados, situações acidentais ou ilícitas (art.6º e 46, LGPD);
- Norma ISO 27001/2013 – Sistema de Gestão de Segurança da Informação;
- Política + NDA + Procedimento (avaliação ou simulação/não conformidade/ação corretiva);
- Criptografia/Anonimização;
- Organograma de responsabilidades;
- Organização/Classificação da informação;
- Procedimento em caso de incidente – sugestão de adoção do prazo de 72h, estipulado pelo GDPR/operador deve notificar o controlador pelo tratamento sem demora injustificada após ter conhecimento de uma violação de dados pessoais;
- Controle de Compartilhamento/Medidas de Proteção;
- Treinamento e Conscientização – vazamento por falha humana;
- Necessidade de mudança cultural da empresa;
- Criar procedimento para casos de vazamento/violação de dados;
- Somente realizar tratamento de dados pessoais frente a uma das hipóteses/bases legais (art. 7º, LGPD);
- Restringir-se, a somente realizar o tratamento de dados para finalidade determinada pelo qual o dado fora compartilhado pelo titular (art. 6º, LGPD);
- Possuir documentação eficaz e capaz de comprovar a observância e cumprimento das normas de proteção de dados pessoais (art. 6º, LGPD);
- Não realização de tratamento para fins discriminatórios ilícitos ou abusivos (art. 6º LGPD);
- Caso a empresa seja classificada como “controladora”, a nomeação de um encarregado pelo tratamento de dados pessoais torna-se obrigatória (art. 41, LGPD);
- Ser capaz de informar e garantir os direitos dos titulares (art. 18, LGPD);
- Escolher somente parceiros com o nível adequado de proteção de dados pessoais;
- Formular regras de boas práticas e governança sobre proteção de dados pessoais (art. 50, LGPD).
É importante destacar, igualmente, a frente jurídica do compliance, pois muito embora essas obrigações estejam bastante atreladas à segurança da informação e à tecnologia em si, principalmente, quando o tratamento de dados é realizado de modo on-line, não se pode olvidar que todas as relações internas e externas (com parceiros, clientes e titulares de dados), que envolvam tratamento de dados pessoais, deverá estar muito bem alinhada ao longo de todo o fluxo de dados.
Desse modo, será necessária uma revisão jurídica ou mesmo elaboração das políticas internas/corporativas da empresa que tratem do assunto de proteção de dados pessoais e conscientizem todos os funcionários desta a respeito do tema. É recomendável que os funcionários sejam, ainda, submetidos a treinamentos acerca da LGPD.
Ademais, a empresa precisa desenvolver textos e plataformas para não somente informar o titular de dados acerca de todo o tratamento destes dados (coleta, período de manutenção, com quem há compartilhamento, qual a finalidade da coleta, como o titular poderá exercer seus direitos), mas também para interagir com este e viabilizar os seus direitos de acesso, retificação, exclusão, portabilidade de dados pessoais, entre outros. Faz-se necessário que tanto esta comunicação, como eventual plataforma de interação passe por uma revisão jurídica para análise de cumprimento da legislação.
Outros pontos jurídicos de atenção são os contratos celebrados entre os controladores e operadores. Quanto a esta questão, a LGPD não fez qualquer delimitação, deixando à ANPD o encargo de regulamentar padrões mínimos ou mesmo criar orientações a esta relação, no entanto, o GDPR, em seu art. 28, 3, elenca as seguintes exigências de conteúdo a este tipo de contrato, que podem ser adotadas pelas empresas nacionais como boas práticas, a saber:
Esse contrato ou outro ato normativo estipulam, designadamente, que o subcontratante:
- Trata os dados pessoais apenas mediante instruções documentadas do responsável pelo tratamento, incluindo no que respeita às transferências de dados para países terceiros ou organizações internacionais, a menos que seja obrigado a fazê-lo pelo direito da União ou do Estado-Membro a que está sujeito, informando nesse caso o responsável pelo tratamento desse requisito jurídico antes do tratamento, salvo se a lei proibir tal informação por motivos importantes de interesse público;
- Assegura que as pessoas autorizadas a tratar os dados pessoais assumiram um compromisso de confidencialidade ou estão sujeitas a adequadas obrigações legais de confidencialidade;
- Adota todas as medidas exigidas nos termos do artigo 32;
- Respeita as condições a que se referem os nos 2 e 4 para contratar outro subcontratante;
- Toma em conta a natureza do tratamento, e na medida do possível, presta assistência ao responsável pelo tratamento através de medidas técnicas e organizativas adequadas, para permitir que este cumpra a sua obrigação de dar resposta aos pedidos dos titulares dos dados tendo em vista o exercício dos seus direitos previstos no capítulo III;
- Presta assistência ao responsável pelo tratamento no sentido de assegurar o cumprimento das obrigações previstas nos artigos 32 a 36, tendo em conta a natureza do tratamento e a informação ao dispor do subcontratante;
- Consoante a escolha do responsável pelo tratamento, apaga ou devolve-lhe todos os dados pessoais depois de concluída a prestação de serviços relacionados com o tratamento, apagando as cópias existentes, a menos que a conservação dos dados seja exigida ao abrigo do direito da União ou dos Estados-Membros; e
- Disponibiliza ao responsável pelo tratamento todas as informações necessárias para demonstrar o cumprimento das obrigações previstas no presente artigo e facilita e contribui para as auditorias, inclusive as inspeções, conduzidas pelo responsável pelo tratamento ou por outro auditor por este mandatado.
Conclusão
Considerando as relações envolvidas no fluxo de dados pessoais, não se pode deixar de destacar que para nortear todo o processo de compliance, é de suma importância que a empresa tenha bem definido como esta se porta em todos os seus fluxos de dados, que tipo de papel esta assume no decorrer dos tratamentos de dados que realiza? Porta-se como controladora (agente de tratamento que realiza todas as decisões sobre o tratamento) ou mera operadora de dados (agente que segue às ordens do controlador e tão somente realiza o tratamento). Esta definição é que regerá todo o Processo de Compliance em Proteção de Dados Pessoais.
Em síntese, para um bom compliance com a Lei Geral de Proteção de Dados Pessoais, a empresa deve: (i) definir o seu papel em relação ao tratamento de dados; (ii) promover o engajamento dos colaboradores com a questão, visando uma mudança cultural; (iii) ajustar as bases legais de acordo com o tipo de tratamento a ser realizado; (iv) ser transparente e honesta em suas relações; (v) investir em sua confiabilidade (por meio de certificações, boas práticas e outras garantias); (vi) investir em segurança da informação; (vii) escolher bem seus parceiros; (viii) zelar por todos os relacionamentos advindos do tratamento de dados, do modo mais transparente possível.
Referências Bibliográficas
Decisão da Autoridade Francesa no caso do Google. Disponível em: <https://www.cnil.fr/sites/default/files/atoms/files/san-2019-001.pdf>. Acesso em: 28 maio 2019.
Guia da DMA sobre consentimento e legítimo Interesse. Disponível em: <https://dma.org.uk/article/dma-gdpr-guidance-consent-and-legitimate-interests>. Acesso em 28 maio 19.
GDPR. Disponível em: <https://eur-lex.europa.eu/legal-content/PT/TXT/?uri=celex%3A32016R0679> Acesso em: 28 maio 2019.
Notícia a respeito da decisão da Autoridade Francesa no caso do Google. Disponível em: <https://www.cnil.fr/en/cnils-restricted-committee-imposes-financial-penalty-50-million-euros-against-google-llc>. Acesso em 28 maio 2019.
Notícia referente à orientação da Autoridade de Dados Holandesa. Disponível em: <https://techcrunch.com/2019/03/08/cookie-walls-dont-comply-with-gdpr-says-dutch-dpa/>. Acesso em 29 maio 2019.
Parecer 15/2011, do Grupo de Trabalho do Artigo 29. Disponível em: <https://www.gpdp.gov.mo/uploadfile/others/wp187_pt.pdf>. Acesso em 29 maio 2019.
<renault.fr/cookies.html>. Acesso em 29 maio 2019.
<www.shell.com.br>. Acesso em 29 maio 19.
4ª edição do estudo global Future Focus. Disponível em: <https://cryptoid.com.br/e-commerce-e-varejo/na-economia-digital-confianca-de-marca-se-torna-prioridade-para-os-negocios-revela-estudo-da-iprospect/>. Acesso em 29 maio 19.
[1] Disponível em: <https://www.cnil.fr/en/cnils-restricted-committee-imposes-financial-penalty-50-million-euros-against-google-llc>; <https://www.cnil.fr/sites/default/files/atoms/files/san-2019-001.pdf>.
[2] Disponível em: <https://www.gpdp.gov.mo/uploadfile/others/wp187_pt.pdf>.
[3] Disponível em: <https://techcrunch.com/2019/03/08/cookie-walls-dont-comply-with-gdpr-says-dutch-dpa/>.
[4] Disponível em: <https://www.gpdp.gov.mo/uploadfile/others/wp187_pt.pdf>.
[5] Disponível em: <https://www.cnil.fr/en/cnils-restricted-committee-imposes-financial-penalty-50-million-euros-against-google-llc>; <https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000038032552&fastReqId=2103387945&fastPos=1>.
[6] Disponível em: <https://www.gpdp.gov.mo/uploadfile/others/wp187_pt.pdf>.
[7] Disponível em: <https://dma.org.uk/article/dma-gdpr-guidance-consent-and-legitimate-interests>.
[8] Disponível em: <https://eur-lex.europa.eu/legal-content/PT/TXT/?uri=celex%3A32016R0679>.
[9] Disponível em: <https://eur-lex.europa.eu/legal-content/PT/TXT/?uri=celex%3A32016R0679>.
[10] 4ª edição do estudo global Future Focus. Disponível em: <https://cryptoid.com.br/e-commerce-e-varejo/na-economia-digital-confianca-de-marca-se-torna-prioridade-para-os-negocios-revela-estudo-da-iprospect/>.
[11] Disponível em: <https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-12018-certification-and-identifying-certification_en>.
Leia também o primeiro Volume da Revista Forense
- Revista Forense – Volume 1 | Fascículo 1
- Revista Forense – Volume 1 | Fascículo 2
- Revista Forense – Volume 1 | Fascículo 3
- Revista Forense – Volume 1 | Fascículo 4
- Revista Forense – Volume 1 | Fascículo 5
- Revista Forense – Volume 1 | Fascículo 6
Normas de Submissão de Artigos
I) Normas técnicas para apresentação do trabalho:
- Os originais devem ser digitados em Word (Windows). A fonte deverá ser Times New Roman, corpo 12, espaço 1,5 cm entre linhas, em formato A4, com margens de 2,0 cm;
- Os trabalhos podem ser submetidos em português, inglês, francês, italiano e espanhol;
- Devem apresentar o título, o resumo e as palavras-chave, obrigatoriamente em português (ou inglês, francês, italiano e espanhol) e inglês, com o objetivo de permitir a divulgação dos trabalhos em indexadores e base de dados estrangeiros;
- A folha de rosto do arquivo deve conter o título do trabalho (em português – ou inglês, francês, italiano e espanhol) e os dados do(s) autor(es): nome completo, formação acadêmica, vínculo institucional, telefone e endereço eletrônico;
- O(s) nome(s) do(s) autor(es) e sua qualificação devem estar no arquivo do texto, abaixo do título;
- As notas de rodapé devem ser colocadas no corpo do texto.
II) Normas Editoriais
Todas as colaborações devem ser enviadas, exclusivamente por meio eletrônico, para o endereço: revista.forense@grupogen.com.br
Os artigos devem ser inéditos (os artigos submetidos não podem ter sido publicados em nenhum outro lugar). Não devem ser submetidos, simultaneamente, a mais do que uma publicação.
Devem ser originais (qualquer trabalho ou palavras provenientes de outros autores ou fontes devem ter sido devidamente acreditados e referenciados).
Serão aceitos artigos em português, inglês, francês, italiano e espanhol.
Os textos serão avaliados previamente pela Comissão Editorial da Revista Forense, que verificará a compatibilidade do conteúdo com a proposta da publicação, bem como a adequação quanto às normas técnicas para a formatação do trabalho. Os artigos que não estiverem de acordo com o regulamento serão devolvidos, com possibilidade de reapresentação nas próximas edições.
Os artigos aprovados na primeira etapa serão apreciados pelos membros da Equipe Editorial da Revista Forense, com sistema de avaliação Double Blind Peer Review, preservando a identidade de autores e avaliadores e garantindo a impessoalidade e o rigor científico necessários para a avaliação de um artigo.
Os membros da Equipe Editorial opinarão pela aceitação, com ou sem ressalvas, ou rejeição do artigo e observarão os seguintes critérios:
- adequação à linha editorial;
- contribuição do trabalho para o conhecimento científico;
- qualidade da abordagem;
- qualidade do texto;
- qualidade da pesquisa;
- consistência dos resultados e conclusões apresentadas no artigo;
- caráter inovador do artigo científico apresentado.
Observações gerais:
- A Revista Forense se reserva o direito de efetuar, nos originais, alterações de ordem normativa, ortográfica e gramatical, com vistas a manter o padrão culto da língua, respeitando, porém, o estilo dos autores.
- Os autores assumem a responsabilidade das informações e dos dados apresentados nos manuscritos.
- As opiniões emitidas pelos autores dos artigos são de sua exclusiva responsabilidade.
- Uma vez aprovados os artigos, a Revista Forense fica autorizada a proceder à publicação. Para tanto, os autores cedem, a título gratuito e em caráter definitivo, os direitos autorais patrimoniais decorrentes da publicação.
- Em caso de negativa de publicação, a Revista Forense enviará uma carta aos autores, explicando os motivos da rejeição.
- A Comissão Editorial da Revista Forense não se compromete a devolver as colaborações recebidas.
III) Política de Privacidade
Os nomes e endereços informados nesta revista serão usados exclusivamente para os serviços prestados por esta publicação, não sendo disponibilizados para outras finalidades ou a terceiros.
Veja também: