O emprego de medidas para a mitigação de riscos de vazamento de dados pessoais

Com a recente notícia acerca do vazamento ocorrido em janeiro deste ano, apontado como o maior da história do Brasil e que envolveu mais de 223 milhões de números de CPF, nomes, datas de nascimento e gênero de cidadãos brasileiros, inclusive de pessoas já falecidas, o questionamento sobre o nível de segurança adotado pelas empresas para a proteção dos dados pessoais ganhou foco.

No caso em questão, muito embora o Serasa Experian tenha sido inicialmente apontado como sendo a possível fonte dos dados pessoais vazados, a empresa negou que o vazamento tenha ocorrido a partir de seu banco de dados.

Sem definições concretas sobre a origem do vazamento e com a declaração da Agência Nacional de Proteção de Dados (ANPD) de que está apurando tecnicamente as informações sobre o incidente, fato é que, em razão de vazamentos como esse, os dados pessoais estão disponíveis na rede. Trata-se de uma imensurável violação dos direitos fundamentais à privacidade e à intimidade, assegurados constitucionalmente.

A importância de se conhecer a fonte do vazamento não implica somente em responsabilização ou penalização dos responsáveis, mas principalmente na necessidade de correção de possíveis falhas, afinal, é um problema de segurança pública.

Essa situação acarreta um estado de alerta geral, na medida em que favorece o cometimento de golpes e fraudes, com potencial risco de lesão aos titulares dos dados vazados, como abertura de conta em banco e de linha de crédito com documentos falsos, entre outras práticas ilícitas. Logo, o dano já causado pelo vazamento pode ser ainda potencializado se efetivadas tais práticas.

Mas, afinal, quais são as consequências legais desses incidentes? Que medidas devem ser tomadas para evitar esse risco? Essas são algumas das principais perguntas que afligem as empresas, em especial os agentes de tratamento (controladores e operadores), considerando as responsabilidades envolvidas.

Com a edição da lei brasileira sobre proteção dos dados pessoais, a Lei nº 13.709/2018 (LGPD), que finalmente, após um período de incertezas, entrou em vigor no mês de setembro de 2020, podemos agora nos amparar em previsões legais para exigir e também cumprir com as regras de conduta que giram em torno dos dados pessoais.

A LGPD foi criada, em síntese, com o objetivo de garantir aos titulares maior nível de proteção em relação aos seus dados pessoais, exigindo dos agentes de tratamento maior controle e comprometimento com a observância dos princípios que norteiam a lei e também maior transparência e segurança em relação aos dados pessoais disponibilizados para tratamento.

Muito vem sendo discutido em relação às providências que devem ser adotadas pelos próprios titulares para evitar esses vazamentos. Contudo, ainda que os titulares possam e devam se utilizar de determinadas medidas para diminuir os riscos, é importante destacar que a responsabilidade por proteger os dados é daqueles que os recebem e realizam o tratamento, sejam entendidas públicas ou privadas.

Ainda que o tratamento dos dados pessoais seja realizado com enquadramento nas bases legais previstas, será considerado irregular se não proporcionar ao titular a segurança necessária, inclusive em razão da utilização de técnicas inadequadas ou insuficientes para conferir proteção em relação a vazamento de dados.

O ano de 2020 foi imprescindível para a consolidação da revolução digital, diante da necessidade de adaptação das estruturas corporativas em razão da pandemia da Covid-19, e também marcado negativamente pelo grande número de ataques digitais, até mesmo contra o Superior Tribunal de Justiça.

O cenário atual vivenciado no Brasil por conta desse desenvolvimento digital certamente levantou muitas discussões e incertezas sobre a intepretação da nova lei. Assim, muito se espera da atuação da ANPD, principalmente por conta da atribuição de realizar essa interpretação e regular os casos omissos, antes mesmo de passar a aplicar as sanções para os casos de violação.

De acordo com a definição da LGPD, a ANPD é o órgão da administração pública federal, integrante da Presidência da República, responsável não só por zelar pela proteção dos dados, mas também por implementar e fiscalizar o cumprimento da lei e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação.

A LGPD prevê que em caso de infrações às normas poderão ser aplicadas pela ANPD, em face dos agentes de tratamento, sanções administrativas como a aplicação de multa correspondente a 2% do faturamento anual da empresa envolvida em vazamentos como este, limitada a R$ 50 milhões por infração, a publicização da infração, entre outras penalidades previstas em seu artigo 52.

Como se sabe, as penalidades previstas na LGPD somente poderão ser aplicadas a partir de 1º de agosto deste ano, conforme estabeleceu a Lei nº 14.010/2020.

Vale destacar, entretanto, que as sanções previstas são administrativas e não obstam a aplicação de sanções civis ou penais, ou mesmo de outras sanções administrativas, uma vez que a existência e atuação da ANPD não prejudica ou interfere na competência de órgãos como o Procon e o Ministério Público. Assim, nada impede que venha a ser arbitrado, por exemplo, valor de indenização por danos causados a terceiros, inclusive maior que a multa aplicada pela ANPD.

Em recente aparição, o presidente da ANPD declarou que inicialmente o foco de atuação do órgão será a educação e não a aplicação das sanções administrativas, que seriam pouco eficientes, eis que as multas acabariam sendo repassadas pelas empresas aos seus clientes.

Um ponto essencial a ser considerado para afastar as possíveis penalidades decorrentes da violação da LGPD, o que inclui a despreocupação com a correção de possíveis vulnerabilidades, é a ação preventiva. Sobretudo porque a dosimetria da sanção, que ocorrerá de acordo com cada casa concreto, considerará os critérios indicados no §1º do artigo 52, entre os quais cabe destacar a gravidade da infração e a adoção reiterada de mecanismos e procedimentos internos capazes de minimizar o dano causado.

Em consonância com o artigo 44 da LGPD será considerado irregular o tratamento de dados pessoais que deixar de observar a legislação ou que não fornecer ao titular a segurança que ele pode esperar, consideradas, dentre outras circunstâncias relevantes, “as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado”.

Como indicado, a LGPD dispõe que as técnicas de tratamento seriam aquelas disponíveis à época. Trata-se de um detalhe significante o legislador utilizar na redação da lei as palavras “disponíveis” ao invés de “existentes”, visto que são completamente distintas. O fato de existir, por exemplo, um sistema de segurança extremamente eficiente em outro país e ainda não comercializado para outros países, não o torna disponível aos controladores brasileiros. E ainda que “o sistema passe a ser comercializado no Brasil, mas pelo valor de 50 milhões de dólares a licença. Isso faz com que o sistema esteja ‘disponível’ para os controladores brasileiros? Entendemos que não. A palavra ‘disponíveis’ precisa levar em consideração a possibilidade ou não de o controlador ter acesso a determinado sistema, não o simples fato de ele existir ou ser comercializado fora dos padrões econômicos do controlador sob análise” [1].

Não obstante, a lei não atrela a segurança exclusivamente à adoção de medidas técnicas. Em linha com que estabelece o princípio da segurança, elencado na LGPD, os agentes de tratamento deverão utilizar-se de “medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão”.

Em resumo, para garantir a efetiva proteção dos dados pessoais não basta a utilização de medidas técnicas, sendo imprescindível também a adoção de medidas de ordem administrativa.

Um exemplo bem claro e que retrata essa necessidade é o de uma empresa hipotética que adota medidas técnicas adequadas a cumprir satisfatoriamente com os objetivos de confidencialidade, integridade e disponibilidade. Suponha-se que cada empregado dessa empresa tenha sua própria credencial que, a depender do cargo hierárquico, possibilite diferentes graus de autorização de acesso. Todavia, por mera comodidade no dia a dia, os empregados optam por compartilhar as credenciais entre sim, enganando o sistema de segurança da empresa. Por meio desse exemplo é possível demonstrar que ainda que exista um sistema de segurança, se este não for operado com regras que técnicas e administrativa que possibilitem regularizar o tratamento de dados, a iniciativa acaba frustrada [2].

As medidas a serem adotadas não dizem respeito apenas à segurança de informação. Até mesmo porque nem todo vazamento decorre de violação do sistema de segurança, assim como nem todo tratamento incide sobre os dados pessoais online/digitais mas também offline/físicos, sendo possível, portanto, a causa decorrente de culpa ou dolo dos próprios colaboradores.

Convém destacar que “quanto às medidas administrativas, os dispositivos trazidos pela lei demandarão um esforço coletivo de todos os atores envolvidos e implicarão a criação de novas rotinas de trabalho, de procedimentos de segurança de informação e aumento dos mecanismos de transparência e governança. A cultura de proteção aos dados pessoais precisará ser cada vez mais difundida, em especial entre aqueles que prestem serviços para agentes de tratamento” [3].

Isso reflete a necessidade de aplicação das regras de compliance, visando a alterar a cultura dos colaboradores, para fins de assegurar a observância das novas regras legalmente exigidas. Isso corresponde ao incentivo ao desenvolvimento da cultura da privacidade e da proteção de dados pessoais.

A nova lei requer medidas preventivas para evitar a violação dos direitos fundamentais à privacidade e intimidade dos titulares dos dados pessoais. Afinal, “quando a lei afirma que considerações sobre dados pessoais e sua proteção devem existir desde a concepção de produtos e serviços, ela dá um sinal para que empresas e governos não releguem as preocupações sobre proteção de dados apenas para depois de ocorridos episódios de sua violação” [4].

Foi justamente com essa pretensão que a LGPD direcionou uma seção para tratar de boas práticas e governança, por reconhecer como significativa a implementação do que ela intitulou ser o “programa de governança em privacidade”. Não se trata de uma imposição da lei, mas, sim, de uma possibilidade imputada aos agentes de tratamento e que só traz consequências positivas, em especial considerando-se que a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano decorrente da infração da lei será um item a ser considerado como atenuante no momento de eventual imposição de sanções administrativas (artigo 52, §1º, VIII).

Para tanto, é inafastável a necessidade de as organizações públicas e privadas estabelecerem procedimentos corporativos para que os seus colaboradores sigam as orientações apresentadas em seus códigos de conduta/boas práticas e políticas internas. Isso porque somente poderá ser exigido dos colaboradores o cumprimento das orientações que tenham sido repassadas de forma suficientemente completa e clara.

É indispensável garantir internamente a difusão das regras a serem seguidas, por meio da adoção de mecanismos de compliance e implementação de boas práticas no tratamento dos dados pessoais, de modo a garantir a fixação de controles internos e, via de consequência, a prevenção de condutas em desacordo com os comandos da legislação.

Ainda no que diz respeito à importância do programa de compliance para a satisfatória adequação à LGPD, especialmente em caráter preventivo, pertinente ressaltar que, para assegurar a efetividade do programa de compliance, é necessária a sua contínua avaliação, com a análise dos riscos e realização de treinamentos visando a orientação sobre a relevância dos cuidados necessários ao tratamento dos dados pessoais. A instituição deve “investir em um programa de capacitação constante, de forma a manter todos atualizados quanto a alterações feitas em procedimentos e políticas, como para reforçar as premissas da LGPD, minimizando o risco de falhas por desconhecimento ou não compreensão do tema” [5].

Ainda é desconhecido como será acompanhado o processo de adequação das organizações às novas regras impostas.

Apesar de ter sido finalmente constituída, a ANPD ainda não publicou nenhuma das regulamentações previstas em lei. Essas regulamentações, bem como as orientações em relação aos pontos duvidosos e obscuros da lei, serão cruciais para estabelecer a segurança jurídica, tanto para os titulares dos dados pessoais quanto para as organizações. Essa segurança, por sua vez, será vital para garantir os investimentos e a geração de negócios no Brasil.

No final do mês de janeiro, a ANPD apresentou a agenda regulatória para o biênio 2021-2022, que basicamente corresponde a um cronograma com as ações planejadas, com a definição das prioridades em três fases que reúnem dez temas, incluindo regulamento próprio sobre as sanções administrativas e metodologias que orientarão o cálculo do valor-base das sanções de multa. Os itens dessa agenda regulatória serão considerados na elaboração das diretrizes da Política Nacional de Proteção de Dados Pessoais e da Privacidade pela ANPD.

A expectativa é de que finalmente estejamos trilhando rumo à obtenção de maior amparo e informações. Ainda assim, as organizações brasileiras devem, desde já, executar mecanismos de adequação, conforme aqui apontado, e não ficar estagnadas aguardando o integral e perfeito funcionamento da ANPD para somente então começarem a corre atrás da adequação.

 


 

[1] COTS, Márcio e OLIVEIRA, Ricardo. Lei Geral de Proteção de Dados Pessoais Comentada. 2. ed. São Paulo: RT, 2019, p. 181.

[2] COTS, Márcio; OLIVEIRA, Ricardo. Op. cit, p. 186.

[3] TEPEDINO, Gustavo; FRAZÃO, Ana; OLIVA, Milena Donato (Coord.). Lei Geral de Proteção de Dados Pessoais e suas repercussões no direito brasileiro. São Paulo: RT, 2019, p. 435.

[4] Op. cit., p. 440.

[5] XAVIER, Fábio Correa. Ações para adequação à LGPD pela administração pública. In: Comentários à Lei Geral de Proteção de Dados Pessoais – LGPD [livro eletrônico]. Ribeirão Preto/SP: Migalhas, 2021, p. 14-15.

 

 

*Artigo originalmente postado no Conjur.

Boletim Semanal: Direto de Brasília

1.  PODER EXECUTIVO

1.1 O Presidente da República estuda enviar projeto de lei ao Congresso para estabelecer um valor fixo do ICMS sobre combustíveis ou a incidência do ICMS sobre o preço dos combustíveis nas refinarias. O Presidente declarou que o preço fixo poderá ser definido pelos governos estaduais. A ideia do Presidente é estipular valor fixo para o ICMS da mesma forma como ocorre com o PIS/COFINS, que têm valor fixo de R$ 0,35 por litro.

1.2 O Conselho Administrativo de Recursos Fiscais (CARF) publicou a Portaria ME nº 690 de 18 de janeiro de 2021, que eleva o limite de valor dos processos que podem ser julgados de forma virtual para R$ 12 milhões, bem como permitiu que o CARF julgasse virtualmente os processos com pedido de nulidade.

1.3 O Conselho Gestor do Simples Nacional publicou no dia 29 de janeiro de 2021 uma resolução que prorrogou a data de vencimento do Simples Nacional do mês de janeiro para 26 de fevereiro de 2021. A medida visa atender aos contribuintes que fizeram a opção pelo Simples Nacional recentemente.

1.4 A 1ª Turma da Câmara Superior do CARF afastou a incidência do IRPJ sobre a permuta de imóveis, alterando o entendimento anterior do órgão. O julgamento, do PAF nº 001020/2005-94 ocorrido em 10 de novembro de 2020, teve seu acórdão publicado em 21 de janeiro de 2021. Na ocasião, após empate entre os conselheiros, a turma utilizou a nova sistemática de desempate determinando que o julgamento deveria ser favorável ao contribuinte, afastando assim a tributação. Já a 3ª Turma da Câmara Superior de Recursos Fiscais decidiu, utilizando da mesma sistemática de desempate favorável ao contribuinte, que a compensação de valores não pagos de um tributo com créditos de outro tributo pode ser caracterizada como denúncia espontânea, não sendo possível a cobrança de multa contra a contribuinte que realizou o procedimento, ao julgar o PAF nº 10805.000996/2006-45 no último dia 20 de janeiro. Nesse caso, o acórdão ainda não foi publicado.

1.5 A Receita Federal publicou a IN RFB nº 2005 de 29 de janeiro de 2021, com instruções sobre a apresentação da DCTF e da DCTFWeb. A norma dispõe sobre a forma de entrega da DCTF e DCTFWeb, bem como inexigibilidade de entrega e outras instruções a respeito. Além disso, a Receita Federal noticiou a abertura de prazo para adesão antecipada a DCTFWeb, definindo cronograma de substituição da GFIP.

 

2. PODER JUDICIÁRIO

2.1 O Supremo Tribunal Federal publicou a Portaria 40 de 03 de fevereiro de 2021, que cancelou o feriado de Carnaval. O tribunal funcionará nos dias 15, 16 e 17 de fevereiro, inclusive com a realização de sessões de julgamento, que foram marcadas para o dia 17 e 18. Já o Superior Tribunal de Justiça publicou portaria que determina o funcionamento normal do tribunal no dia 17 de fevereiro, mantendo como feriado os dias 15 e 16 do presente mês.

2.2 O Supremo Tribunal Federal pautou para o dia 04 de fevereiro de 2021, mas não julgou por falta de tempo hábil, os processos a seguir:

2.2.1 ADI 1.945 e ADI 5.659 – Tributação sobre software – A ação apontam inconstitucionalidade de dispositivos de leis estaduais, que consolidam normas referentes ao ICMS, por bitributação e invasão da competência municipal.

2.2.2 ADI 5.469 e RE 1.287.019 – Discute se a cobrança do Diferencial de Alíquota do ICMS, acrescentado à Constituição Federal pela Emenda Constitucional 87/2015, não está condicionada à regulamentação de lei complementar.

2.3 Nessa sexta-feira, 05 de fevereiro de 2021, o Plenário virtual do STF iniciou os julgamentos dos seguintes casos relevantes:

2.3.1 RECURSO EXTRAORDINÁRIO 714139 – REPERCUSSÃO GERAL – Tema 745 – Alcance do art. 155, § 2º, III, da Constituição federal, que prevê a aplicação do princípio da seletividade ao Imposto sobre Circulação de Mercadorias e Serviços – ICMS.

RESULTADO PARCIAL: O Ministro Marco Aurélio, relator do caso, proferiu voto dando parcial provimento ao recurso e propondo a seguinte tese: “Adotada, pelo legislador estadual, a técnica da seletividade em relação ao Imposto sobre Circulação de Mercadorias e Serviços — ICMS, discrepam do figurino constitucional alíquotas sobre as operações de energia elétrica e serviços de telecomunicação em patamar superior ao das operações em geral, considerada a essencialidade dos bens e serviços”.

2.3.2 EMBARGOS DE DECLARAÇÃO NO RECURSO EXTRAORDINÁRIO 1090591 – REPERCUSSÃO GERAL – Tema 1042 – Condicionamento do despacho aduaneiro de bens importados ao pagamento de diferenças apuradas por arbitramento da autoridade fiscal.

RESULTADO PARCIAL: O Ministro Marco Aurélio, relator do caso, proferiu voto desprovendo os Embargos de Declaração da Contribuinte.

 

3. PODER LEGISLATIVO

 3.1 O Senado Federal elegeu o Senador Rodrigo Pacheco como presidente da casa. O Senador indicou, após reunião com o Deputado Arthur Lira e outros deputados, que a reforma tributária deverá ser votada por ambas as casas até outubro do ano corrente.

3.2 A Câmara dos Deputados elegeu o Deputado Arthur Lira para assumir a presidência da casa. Segundo noticiou o Jota, o deputado não se opõe a criação de uma nova CPMF, e trata a reforma tributária como um projeto prioritário a ser analisado.

3.3 O site da Câmara dos Deputados noticiou lista de prioridades do governo de projetos em tramite no Congresso Nacional. Dentre os projetos prioritários que constam na lista formulada pelo Presidente da República, estão a Reforma Tributária (PEC 45/19), o Marco Legal do Mercado de Câmbio (PL 5387/19), o PL 5877/19 que prevê a privatização da Eletrobrás, o PLP 146/19 que define o marco legal das Startups, entre outros projetos.

3.4 O Jota noticiou nesta sexta-feira, 05/02, que após reunião entre os presidentes das casas do Congresso, ficou firmado que o parecer da Comissão Mista da Reforma Tributária deverá ser apresentado até o fim de fevereiro. Se o prazo for cumprido, a expectativa é de que o projeto seja analisado em seis meses, ou seja, finalizando entre agosto e outubro. Além disso, entidades de representação de setores como comércio e agronegócios encaminharam ofício ao secretário especial da Receita Federal e à Secretaria Especial da Receita Federal do Ministério da Economia em que se manifestam contrários aos projetos da reforma. Em relação à PEC 45/19, as entidades que representam os setores do comércio, agronegócio, representantes da área de saúde entendem que há o risco de aumento da tributação. Já o setor de indústria se mostra favorável ao projeto. A OAB/SP defendeu, por sua vez, o PL 3887/2020, por entender ser o único projeto que trata especificamente das organizações da sociedade civil.

STF começa julgamento sobre tributação estadual de combustíveis e energia

No caso, que pode servir de precedente para outras empresas e Estados, a Lojas Americanas questiona a cobrança de ICMS pelo Estado de Santa Catarina

No mesmo dia em que o ministro da Economia, Paulo Guedes, anuncia que estuda como reduzir a tributação de combustíveis e do setor elétrico, o Supremo Tribunal Federal (STF) começa a julgar no Plenário Virtual um processo que pode afetar o poder dos Estados em definir a alíquota de ICMS de itens como energia elétrica, telecomunicações, combustíveis e outros.

No caso concreto, os ministros julgam a validade de alíquotas diferenciadas do ICMS cobrado sobre o fornecimento de energia elétrica e serviços de telecomunicação em patamar superior ou semelhante às alíquotas de produtos supérfluos, como bebidas alcóolicas. O julgamento pode impactar a arrecadação de todos os Estados, segundo advogados tributaristas (RE 714.139).

O julgamento começa com o depósito do voto do relator no sistema eletrônico. Os demais ministros têm até a próxima sexta-feira para julgar. O voto do relator, ministro Marco Aurélio Mello, ainda não está disponível no site. Segundo fontes, por um problema do sistema.

No caso, a Lojas Americanas questiona a cobrança de ICMS pelo Estado de Santa Catarina (RE 714.139) sob a alíquota de 25%, a mesma aplicada a cigarros e bebidas. A empresa pede que seja aplicada a alíquota de 17%, que é a mais utilizada para os produtos no Estado. Tanto a energia elétrica quando os gastos com telecomunicações são essenciais, segundo o advogado da empresa Leandro Daumas, sócio do Gaia Silva Gaede Advogados.

“O princípio da seletividade tem como objetivo que a carga de ICMS incida de forma mais gravosa sobre bens supérfluos e seja reduzida para itens essenciais como produtos da cesta básica, remédios e serviços essenciais como telecomunicações e energia elétrica”, afirma o advogado.

No caso concreto, se o pedido da Lojas Americanas for aceito o impacto financeiro para o Estado deve ser de R$ 96,6 milhões por mês, o que significa uma queda de 32% na arrecadação do ICMS sobre energia elétrica em Santa Catarina, segundo a Procuradoria Geral do Estado. A PGE alega na ação que o Judiciário não pode assumir competência constitucional atribuída ao legislador, que definiu a alíquota.

Ainda segundo a PGE, não existe violação ao princípio da seletividade tributária, uma vez que o Estado fez o escalonamento de alíquotas de ICMS quanto às classes de consumidores de energia elétrica – pequenos produtores rurais e consumidores residenciais são tributados pela alíquota de 12%, e não 25% como em setores industriais e mercantis. Além disso, aponta que há determinação constitucional expressa no sentido de que o ICMS poderá ser seletivo (não havendo obrigatoriedade), em função da essencialidade das mercadorias e dos serviços.

Apesar de o julgamento se referir a um Estado específico, advogados apontam que o precedente servirá de orientação para pedidos envolvendo os demais. Todos os Estados participam como parte interessada (amicus curiae) afinal, o STF vai definir se eles podem escolher a alíquota de ICMS a depender dos produtos.

De acordo com Julio Janolio, sócio do escritório Vinhas e Redenschi Advogados, apesar de o julgamento estar focado no caso de energia elétrica ele tem o potencial de se espalhar para outras mercadorias que hoje são tributadas a uma alíquota elevada mas são itens essenciais. “Pode causar um rombo muito grande para os Estados”. Além de energia e telecomunicações, combustíveis também têm carga tributária alta mesmo sendo itens essenciais, segundo Janolio. “Telecomunicações é o item de maior carga tributária, chegando a 40% em alguns Estados”, afirma.

Janolio destaca que o tema abordado pelo ministro da Economia no anúncio de hoje e pelo STF tem “tudo a ver”, mas estão sendo tratados no mesmo dia por coincidência. “O tema do STF sobre o excesso de tributação (altas alíquotas) do ICMS sobre mercadorias, bens e serviços já deveria ter sido analisado faz tempo”, afirma o advogado.

 

POR BEATRIZ OLIVON

FONTE: Valor Econômico – 05/02/2021 – Brasília