A nova Lei Geral de Proteção de Dados Brasileira – LGPD- neste texto designada “lei” para se facilitar a leitura – já está parcialmente em vigor. Origina-se do General Data Protection Regulation Europeu – GDPR – vigente desde 2018 na União Europeia, no que possui muitas semelhanças. Temos aqui o propósito de responder de forma muito breve às perguntas mais objetivas sobre a lei para situar o leitor no assunto.
A lei existe com o objetivo de aumentar a segurança e a proteção de dados das pessoas físicas em posse de entidades e profissionais, para assim proteger seus direitos fundamentais de liberdade e de privacidade e permitir o livre desenvolvimento de sua personalidade. Concretamente busca proteger os dados das pessoas de violações, coletas e trocas não autorizadas e de sua indevida utilização, em meio a um ambiente informático cada vez mais ávido por tratá-los e processá-los pelos mais diversos motivos, inúmeras vezes alheios à vontade das pessoas.
É importante esclarecer que pessoas naturais, se com fim profissional ou comercial (advogados, contadores, médicos, dentistas, esteticistas, psicólogos, terapeutas corporais, representantes comerciais, professores particulares, entre outros), bem como todas as pessoas jurídicas e entes coletivos (tais como sociedades limitadas e suas filiais, lojas, fábricas e também empresas, representações comerciais, clínicas, hospitais, igrejas, partidos políticos, universidades, escolas, associações etc.), devem adequar-se à lei. São pouquíssimas as exceções aplicáveis.
E pela lei, para responder como adequar-se significa sobretudo entender que dados atualmente se trata e como os deverá tratar a partir da lei. O critério determinador de adequação do sistema atual de tratamento será a natureza dos dados em análise, diretamente relacionada à atividade profissional exercida pela pessoa. Isto porque a lei estabelece claramente dois conjuntos de dados a serem tratados, com abordagens diferentes: os mais comuns – “dados pessoais” e, neles contidos e como seu subconjunto, sujeitos a regras ainda mais restritas de tratamento, os “dados sensíveis”.
Dados “pessoais” pela lei são aqueles relacionados a pessoa natural identificada ou identificável. Ou seja, tudo o que se souber de uma pessoa a nos permitir potencialmente individualizá-la. Assim, CPF brasileiro, endereço pessoal e profissional, nome completo, telefone, mas também particularidades que sirvam a auxiliar sua identificação, como por exemplo a afiliação a um clube ou confraria, são dados pessoais.
Dados pessoais “sensíveis” pela lei versam sobre a origem racial ou étnica do indivíduo, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. Deduzimos obviamente como “sensíveis” as informações de prontuários médico-odontológicos, mas também fotos, imagens, o timbre da voz, a íris e impressões digitais, por exemplo.
Esclarecida a tipologia, em consulta o advogado poderá orientar o cliente quanto à medida e à necessidade de se alterar seus processos para respeito às normas de segurança de dados “pessoais” e aquelas relativas aos dados pessoais “sensíveis”. Haverá casos em que bastará estabelecer simples protocolos de proteção, outros que exigirão novas regras internas, novos processos e novos contratos com terceiros. O cliente definirá o investimento a assumir pelo tratamento e proteção recomendados. A medida a ser implementada deve guardar direta relação com o objetivo da lei, qual seja, de garantir segurança e privacidade aos dados que proteger.
Há ainda uma percepção de que a lei não esteja exatamente em vigor. Isto porque a autoridade fiscalizadora constituída na lei (Agência Nacional de Proteção de Dados – ANPD) teria sido apenas recentemente nomeada e empossada para cumprimento de seus deveres, e porque a lei de fato estabelece a aplicação das advertências e multas administrativas previstas (que podem chegar até R$ 50 milhões) apenas a partir de agosto de 2021. Não obstante, esta interpretação é perigosa e expõe pessoas e empresas a riscos jurídicos desnecessários.
A lei aplica-se imediatamente ao tratamento e troca de dados na iniciativa privada e às relações comerciais e profissionais entre pessoas localizadas no Brasil e no exterior; estabelece os princípios, deveres e regras para o tratamento dos dados a que se refere, todos atualmente já em vigor. E como a cada dever corresponde uma responsabilidade, em todos os casos a violação do dever de proteção exigido pela lei, comprovados a causa e o dano, obrigará a indenizar o prejudicado.
Caberá ao juiz, no caso concreto, decidir se atribuirá a responsabilidade pela violação a despeito de prova de culpa da empresa, ao solicitar do prejudicado apenas a evidência do dano em si ocorrido, ou se exigirá do prejudicado as evidências da violação como provável causa do dano. Neste último, o prejudicado terá de demonstrar a violação como oriunda de ato ou omissão involuntários (mas previsíveis e evitáveis), ou negligência no tratamento ou ainda falta de técnica correta aplicada ao caso que, como obrigação legal descumprida, por sua vez seja comprovadamente causa do dano.
Na prática, antevemos uma tendência a maior número de decisões a exigirem do prejudicado apenas ter de provar o dano sofrido, e a eximi-lo de ter de provar a culpa da entidade causadora do dano. De fato, há muitas situações em que é relativamente fácil demonstrar por documentos a divulgação ou vazamento de dados outrora protegidos, sem necessariamente recurso a testemunhas, peritos e meios de prova mais complexos. Cumpre lembrar que a responsabilidade decorrente desta violação, em qualquer caso, será atribuída à pessoa jurídica controladora dos dados, a despeito de terceirizações.
A lei permite igualmente ao juiz e à autoridade fiscalizadora atenuarem penalidades nos casos de violações por entidades que comprovem lisura, conformidade e boa-fé em suas operações, ou seja, não obstante a violação, sejam capazes de demonstrar terem empregado as melhores práticas e sistemas em sentido contrário. A tempestiva implementação é, portanto, argumento eficaz para mitigar riscos financeiros. Entendemos enfim que o potencial de futuras sanções administrativas da autoridade fiscalizadora, aplicáveis a partir de agosto de 2021, não é o marco absoluto e relevante para a adequação à lei. Recomendamos às pessoas sujeitas à lei revisarem, com seus advogados de confiança, o modo como tratam e protegem os dados de terceiros em sua guarda, para reduzirem ou mesmo eliminarem o risco de eventual violação de um dever legal já em vigor.