Como o Poder Judiciário está interpretando a LGPD?

Passados praticamente 2 anos de vigência da LGPD¹ é interessante analisar quais questões relacionadas a essa Lei estão sendo levadas ao Poder Judiciário brasileiro, como está sendo feita sua interpretação e respectivas consequências.

Em caso recente (março/2023) julgado pelo STJ² foi afastado o pedido de indenização por danos morais pautado no simples vazamento de dados pessoais. Essa Corte reconheceu que o vazamento de dados é uma falha, mas a sua simples ocorrência, sem a demonstração efetiva de dano moral suportado pelo titular dos dados, não gera direito indenizatório. Dentre os Tribunais Estaduais que já analisaram pedidos de ressarcimento por danos morais vinculados ao vazamento de dados, maior parte está alinhado com esse entendimento do STJ.

Ainda sobre vazamento de dados constata-se que os julgadores estão atentos e valorizando todas as práticas dos controladores de dados para tentar garantir sua segurança, o que está alinhado com alguns preceitos trazidos pela própria LGPD no sentido de atenuar sanções quando há demonstração de que foram adotadas as medidas possíveis para atender os requisitos de segurança.

Outra situação que gerou indenização por danos morais na esfera cível: o Autor da ação recebeu ligações de telemarketing após encerramento da relação contratual entre as Partes. Essa conduta foi caracterizada como ilícita e abusiva porque a empresa Ré descumpriu o pedido de retirada dos dados pessoais do seu cadastro.

Redes sociais têm sido responsabilizadas (danos morais) por acesso de terceiros a perfil, especialmente pela dificuldade de o dono desse perfil reaver sua conta e pela falta de segurança que deveria ter sido ofertada pelo provedor da rede.

Aplicativos de mensagem também são alvo de responsabilização (danos materiais) em situações nas quais o usuário foi vítima de estelionato praticado nesse ambiente e que o fraudador utilizou dados pessoais da filha da vítima (foto e filiação) para obter vantagem financeira.

A Justiça do Trabalho (JT) também tem enfrentado o tema LGPD com frequência. Dentre as decisões que foram localizadas e analisadas 35 % decorrem de ações ajuizadas na JT e os litígios/decisões foram os seguintes:

❯  Manutenção de demissão por justa causa ao empregado que (ii) transferiu dados sensíveis de paciente do hospital empregador para constituir prova em ação trabalhista; (ii) copiou dados pessoais e bancários de clientes e repassou para si e para terceiros; (iii) utilizava dados pessoais de clientes para vender remédios com desconto para outros clientes; (iv) repassou dados sigilosos da empresa ao seu e-mail pessoal.

❯  Determinação de entrega de todos os documentos relativos à relação empregatícia ao ex-empregado, por se tratar de dados pessoais que lhe pertencem.

❯  Indeferimento de pedido feito pelo Sindicato quanto ao apontamento de empregados diagnosticados com Covid, por se tratar de dado sensível, que depende de consentimento do titular.

❯  Pedidos de indenização por danos morais reconhecidos pelas seguintes razões: (i) manutenção de publicidade de telefone de ex-empregado, que continuou recebendo ligações de clientes após término do vínculo trabalhista; (ii) vazamento de dados de atestado médico de empregado via aplicativo de mensagem; (iii) uso indevido de dados dos empregados por empresa que determinou que estes inserissem CPF próprio quando o cliente se negava a prestar tal informação.

❯  Decisões no sentido de determinar que a empresa de telefone forneça dados quando esse pedido decorre de ordem judicial, não podendo essa empresa negar o envio desses dados com fundamento na LGPD, porque o Judiciário não está vinculado a essa lei.

A respeito da cláusula normativa que obriga o empregador a entregar ao Sindicato dados dos seus empregados, não há consenso perante os Tribunais Regionais do Trabalho, havendo decisões no sentido de autorizar o compartilhamento de dados pautado nessa previsão contratual e outras condicionando essa prática ao consentimento do titular dos dados (empregado), não sendo suficiente nesse caso o ajuste entre a empresa e o Sindicato.

Esse é o panorama geral diagnosticado até o presente momento quanto aos temas que geraram discussões judiciais sobre LGPD e como esses litígios foram decididos pelo Poder Judiciário Brasileiro. Cabe destacar que: (i) não foram localizadas decisões judiciais que versam sobre o questionamento de aplicação de sanções administrativas pela ANPD, talvez porque a punição por esse órgão, apesar da firme fiscalização, é recente, razão pela qual as reclamações não tenham ainda sido levadas ao judiciário ou, se foram, ainda não foram julgadas; (ii) muitas decisões analisadas ainda não são definitivas e podem ser reformadas nas instâncias superiores; e (iii) o volume de casos identificados ainda não é significativo (93 no total), se considerada a dimensão do Brasil e a quantidade de ações que são anualmente ajuizadas³.

 

___

O posicionamento do judiciário quanto às normas da LGPD merece um monitoramento constante porque ainda há uma série de possíveis discussões pautadas nessa legislação que não foram apreciadas e, com relação aos pontos já apreciados, ainda são em número inexpressivos e certamente ainda haverá decisões divergentes e inéditas.

¹ A Lei Geral de Proteção de Dados brasileira – Lei 13.709 – foi publicada em agosto de 2018, sendo que mas sua vigência ocorreu de forma escalonada: (i) Dezembro/2018 para os artigos que tratam sobre a criação e atuação da Autoridade Nacional de Proteção de Dados (ANPD) e o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade; (ii) Maio/2021 para os artigos gerais (disposições preliminares, tratamento dos dados pessoais, direitos do titular, responsabilidade, entre outros); e (iii) Agosto/2021 para os artigos que tratam sobre as sanções administrativas.

² https://processo.stj.jus.br/processo/pesquisa/?aplicacao=processos.ea&tipoPesquisa=tipo
PesquisaGenerica&termo=AREsp%202130619

³ “Total de casos novos em 12 meses: 27,7 milhões – crescimento de 10,4% em relação a 2020. Considerando apenas as ações ajuizadas pela primeira vez em 2021, o total é de 19,1 milhões.” Sumário Executivo Justiça em Números 2022 / Publicado pelo CNJ – Conselho Nacional de Justiça: https://www.cnj.jus.br/wp-content/uploads/2022/09/sumario-executivo-jn-v3-2022-2022-09-15.pdf

ANPD aplica primeira sanção em processo administrativo

A ANPD publicou hoje, 06 de julho de 2023, a primeira sanção aplicada pelo órgão em processo administrativo. A autoridade condenou uma empresa de Telemarketing, nos autos do processo nº 00261.000489/2022-62, por infrações ao artigo 41 da Lei 13.709/2018 (LGPD), pois a empresa deixou de indicar Encarregado pelo Tratamento de Dados Pessoais; ao artigo 7º, uma vez que a empresa tratou dados pessoais sem adequação necessária às hipóteses legais que permitem o tratamento de dados pessoais e que estão previstas no artigo; e, por fim, ao artigo 5º, tendo em vista que a empresa tratou dados pessoais sem observar os princípios e conceitos previstos na Lei.

A sanção imposta pela infração ao artigo 41 corresponde à advertência sem imposição de medidas corretivas. Pelas infrações aos artigos 7º e 5º, a empresa foi multada nos valores de R$ 7.200,00 (sete mil e duzentos reais), por infração, o que totalizou a quantia de R$ 14.400 (catorze mil e quatrocentos reais). A ANPD ainda determinou a redução de 25% (vinte e cinco por cento) do total do valor das multas aplicadas, caso a empresa renuncie expressamente ao direito de recorrer da decisão, nos termos do artigo 18 do Regulamento de Fiscalização, e recolha o valor total de R$ 10.800 (dez mil e oitocentos reais), no prazo máximo de 20 (vinte) dias úteis da ciência da decisão, conforme artigo 17 da Regulamentação de Fiscalização.

Se a empresa desejar recorrer, poderá protocolar recurso em um prazo de 10 (dez) dias úteis, a contar da ciência da decisão. Caso a decisão transite em julgado e não seja cumprida, as multas poderão ser executadas pela Procuradoria Federal Especializada da ANPD e a empresa inscrita no CADIN e na Dívida Ativa da União.

 

Clique aqui para outros temas recentes.

Sanções administrativas da ANPD: o que as empresas precisam saber

Inicialmente serão adotados pelo órgão métodos de monitoramento extensivo e superficial para identificar potenciais infratores

Desde a publicação do Regulamento de Dosimetria e Aplicação de Sanções Administrativas¹, já foram instaurados pela Autoridade Nacional de Proteção de Dados (ANPD) oito processos administrativos sancionatórios, sendo sete deles em face de agentes ligados à Administração Pública e um ao setor privado.

A divulgação destes processos demonstra que a ANPD está cumprindo com a obrigação de fiscalização, e acaba por gerar o questionamento e um inquietamento das empresas acerca do que esperar da autoridade.

Os representantes do órgão já se manifestaram em eventos públicos sobre sua atuação, esclarecendo que será responsiva e proporcional ao comportamento dos agentes regulados, levando em consideração as peculiaridades do caso concreto.

É inegável que, desde sua elaboração, a LGPD pautou-se na regulação responsiva, uma espécie de alternativa ao modelo tradicional de fiscalização que possui viés predominantemente punitivista, demonstrando em suas disposições a preferência por uma atuação preventiva, educativa e direcionada ao alcance da conformidade regulatória.

Baseada na teoria responsiva da regulação criada por Ian Ayres e John Braithwaite², a regulação responsiva pode ser representada por uma pirâmide de enforcement ou de constrangimento. Trazendo esta teoria para atuação da ANPD, notar-se-á que ela possui em sua base a autorregulação (agentes que exercem espontaneamente a adequação com a legislação), em seguida, no meio pirâmide, a autorregulação compulsória (agentes que se adequam em razão da atuação discreta do regulador) e, no topo, agentes que demandam atuação pesada, resultando em aplicação de sanções expressivas.

Essa representação de pirâmide de constrangimento enaltece a conscientização e adequação espontânea dos agentes regulados, restringindo a atuação sancionatória do órgão regulador para casos pontuais de desrespeito e descaso à legislação e a sua atuação.

Nesse sentido, inicialmente serão adotados pela ANPD métodos de monitoramento extensivo e superficial, para identificação de potenciais infratores. Quando identificadas situações de desconformidade, sua atuação para combatê-las terá cunho orientativo, visando à adequação do infrator aos termos da LGPD, com indicação de medidas a serem adotadas, ou seja, reflexo do infrator posicionado no meio da pirâmide de constrangimento. Caso não respeitadas, com nítido descaso por parte do agente regulado, dar-se-á início ao processo repressivo, mediante instauração de processo administrativo sancionatório, com consequente elevação do infrator ao topo da pirâmide de constrangimento.

Todo esse processo pretende e tende resultar que os agentes expectadores da atuação da ANPD desejem estar posicionados na base da pirâmide, logo, invistam na adequação à LGPD, para justamente não receberem tratamento ostensivo direcionado aos agentes que estiverem no topo, como os alvos dos processos tornados públicos recentemente.

Apesar dos processos ainda estarem em fase de instrução, as entidades envolvidas já foram afetadas, indiscutivelmente, em virtude da publicidade promovida pela ANPD, impactando negativa e diretamente na imagem e reputação dos entes, além de alastrar um sentimento de insegurança para os titulares de dados que, de certa forma, com elas se relacionam.

Impacto acentuado no caso de empresas privadas, para as quais a publicização pode causar prejuízos irreparáveis à reputação, até mesmo consequências econômicas mais graves do que uma sanção pecuniária, considerando a comprovada e crescente preocupação dos cidadãos com o uso indevido de seus dados pessoais, além da conformidade com a LGPD ser, atualmente, uma usual condição para que sejam firmadas novas parcerias e negócios.

À vista disso, respondendo aos anseios dos empresários face ao início da atuação sancionatória da ANPD, a melhor maneira de afastar o risco de se tornar alvo da autoridade é buscar estar posicionado sempre na base da pirâmide de constrangimento.

O primeiro passo para trilhar esse caminho é a implementação de um programa de governança em proteção de dados , que deverá ser seguido de um trabalho contínuo de atualização e monitoramento, sempre amparado por profissionais especializados, inteirados e alinhados com o posicionamento da ANPD, especialmente nessa nova fase e forma de atuação do órgão.

O motivo desse ser o principal caminho a ser seguido, pauta-se no que a ANPD irá avaliar no momento de uma fiscalização, que se estende muito além da existência de uma infração, mas se de fato a empresa possui mecanismos efetivos de proteção de dados, além do interesse do agente em resolver o problema e o tempo despendido para se adequar.

A partir da implementação dos mecanismos basilares de um programa de governança em proteção de dados, o risco de sofrer a aplicação de uma sanção pela ANPD é exponencialmente reduzido, principalmente porque não necessariamente uma infração à LGPD resultará na aplicação de uma penalidade. Com a comprovação de que a empresa ou entidade possuía internamente uma cultura de proteção de dados e procedimentos capazes de minimizar a ocorrência ou a extensão dos danos, a condenação pode ser afastada ou, ao menos, a multa pode ser atenuada, em até 75%.

De forma prática, o investimento das empresas em um adequado programa de governança em proteção de dados traz, indiscutivelmente, reflexos positivos, de modo que a proatividade e o desejo espontâneo de buscar a conformidade com a LGPD coloca estas empresas na base da pirâmide de conformidade, que é o melhor cenário de relacionamento com a ANPD.

Ainda, o pior cenário que essas empresas podem enfrentar é a ocupação do meio da pirâmide, cabendo a elas corrigir eventuais comportamentos e/ou procedimentos. Por fim, o desfecho positivo é que elas nunca alcançarão o topo da pirâmide, no que diz respeito à atuação regulatória responsiva da ANPD, e consequentemente se esquivam da possibilidade de aplicação de sanções expressivas por meio de processos administrativos sancionatórios.

___

¹ Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-publica-regulamento-de-dosimetria/Resolucaon4CDANPD24.02.2023.pdf

² AYRES, Ian; BRAITHWAITE, John, Responsive regulation: Transcending the deregulation debate, New York: Oxford University Press, 1992.

 

* Artigo publicado originalmente no Jota.

Posicionamento da ANPD após a publicação do regulamento de aplicação e dosimetria das sanções administrativas

Com o advento do Regulamento de Dosimetria e Aplicação de Sanções Administrativas, publicado em 27 de fevereiro de 2023, por meio da Resolução CD/ANPD Nº 4¹, que definiu o procedimento fiscalizatório e de aplicação de penalidades pela Agência Nacional de Proteção de Dados – ANPD, o principal questionamento das empresas gira em torno do que esperar do Órgão regulador, que agora se considera totalmente apto a exercer sua atuação sancionatória no âmbito administrativo.

Até o momento, já foram instaurados pela ANPD 08 (oito) processos administrativos sancionatórios, todos ainda em fase de instrução, em face de agentes que descumpriram a Lei Geral de Proteção de Dados – LGPD, sendo 07 (sete) delas ligadas à Administração Pública e 01 (uma) do setor privado.

Apesar de ainda não existir condenação, é inegável que as entidades envolvidas já foram afetadas em razão da publicidade promovida pela ANPD ao divulgar não apenas seus nomes, mas também as condutas cometidas. A difusão conferida pela ANPD, sem sombra de dúvida, impacta negativa e diretamente na imagem e reputação dos entes, além de transmitir um sentimento de insegurança para todos os titulares de dados que, de alguma forma, com elas se relacionam.

O impacto é mais severo no caso de empresas privadas, para as quais a publicização pode causar prejuízos irreparáveis à reputação, inclusive consequências econômicas até mais graves do que uma penalidade pecuniária, em decorrência da comprovada e crescente preocupação dos cidadãos com o uso indevido de seus dados pessoais e também do fato de a conformidade com a LGPD ser, atualmente, uma usual condição para que sejam firmadas novas parcerias e negócios.

A alta administração da ANPD já se manifestou sobre a sua forma inicial de atuação, que será responsiva e proporcional ao comportamento dos agentes regulados, de modo que todas as suas ações serão alinhadas às peculiaridades do caso concreto e individualidade do infrator.

Inicialmente, serão adotados pelo Órgão, métodos de monitoramento extensivo e superficial, especialmente focados no nível de exposição de dados pessoais, para identificação de potenciais infratores. Uma vez identificadas as situações de desconformidade, a atuação da ANPD terá cunho orientativo/educacional, visando à adequação do infrator aos termos da LGPD, inclusive com indicação das medidas que precisam ser adotadas ou corrigidas. Por fim, caso não respeitadas as orientações emanadas da ANPD, com nítido descaso por parte dos agentes regulados, dar-se-á início ao processo repressivo, mediante instauração de processo administrativo sancionatório.

Cumprindo a promessa de transparência ativa, que não se confunde com a penalidade de publicização das sanções, ao divulgar a lista dos 8 (oito) processos instaurados, a ANPD justificou ter se pautado nas seguintes motivações até o momento:

i. Ausência de nomeação de encarregado de dados pessoais;

ii. Não envio de relatório de impacto de proteção de dados;

iii. Ausência de medidas de segurança;

iv. Ausência de comunicação de incidente de segurança a ANPD e titulares;

v. Ausência de comprovação de hipótese legal;

vi. Ausência de registro de operações; e

vii. Não atendimento à requisição da ANPD.

Vale destacar que, previamente à instauração dos processos, grande parte das entidades já haviam sido notificadas pela ANPD para corrigirem as infrações identificadas.  Ademais, observa-se que a ANPD não exigiu nada além dos requisitos dispostos na própria LGPD, inclusive aspectos básicos de um programa de governança em proteção de dados, até mesmo porque, conforme indicado, a ANPD não irá inovar em suas cobranças e se pautará apenas em assegurar que aquilo que está previsto na legislação seja observado.

Dessa forma, respondendo aos anseios dos empresários face ao início da atuação sancionatória da ANPD, é importante destacar que o caminho a ser percorrido para afastar o risco de se tornar alvo de processo administrativo sancionatório da ANPD, consiste basicamente em se manter bem-informado e assessorado para buscar a conformidade com a lei no que diz respeito à proteção de dados pessoais

O primeiro passo recomendável é a implementação de um programa de governança em proteção de dados, que deverá ser seguido de um trabalho contínuo de atualização/revisão e monitoramento, sempre amparado no auxílio de profissionais especializados, inteirados e alinhados com o posicionamento da ANPD, especialmente nessa nova fase e forma de atuação do Órgão.

Portanto, concretamente, a ANPD irá avaliar no momento de uma fiscalização, para além da existência de uma infração, se a empresa possui mecanismos efetivos de proteção de dados, como o mapeamento dos dados pessoais que trata, nomeação de um encarregado de dados pessoais, planos de ação e mitigação de riscos, relatório de impacto, medidas de segurança cibernética e treinamentos periódicos, todos desenvolvidos para sustentar um programa de governança em proteção de dados.

A partir da adoção desses mecanismos, o risco de aplicação de uma sanção pela ANPD é exponencialmente reduzido, na medida em que uma infração à LGPD não resulta necessariamente na aplicação de uma penalidade. Na hipótese de ser possível comprovar que a empresa ou entidade possuía uma cultura de proteção de dados e procedimentos internos capazes de minimizar a ocorrência ou a extensão dos danos, a condenação pode ser afastada ou, ao menos, a penalidade pode ser atenuada, com redução em até 75%, em caso de multas pecuniárias.

Verifica-se, portanto, que o investimento em um adequado programa de governança em proteção de dados apenas traz reflexos positivos às empresas que se dedicam a buscar a verdadeira conformidade com a lei.

____

¹ Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-publica-regulamento-de-dosimetria/Resolucaon4CDANPD24.02.2023.pdf – Acesso em 17/04/2023

Atuação sancionatória da Autoridade Nacional de Proteção de Dados como um meio propulsor na criação de uma cultura de proteção de dados

Como um novo passo na criação de uma cultura de proteção de dados, a Resolução CD/ANPD Nº 4¹,  publicada em 27 de fevereiro de 2023, regulamenta os artigos 52 e 53 da Lei nº 13.709, de 14 de agosto de 2018 – Lei Geral de Proteção de Dados e altera a Resolução CD/ANPD nº 1, de 28 de outubro de 2021. Com efeito imediato a partir da publicação, a Autoridade Nacional de Proteção de Dados (ANPD) poderá aplicar sanções administrativas decorrentes de violações à LGPD, seguindo parâmetros objetivos estipulados pelo Regulamento, bem como metodologia definida para dosimetria do valor-base das multas pecuniárias.

Muito embora inúmeras discussões sobre o tema de proteção de dados pessoais e aplicação de multas tenham ocorrido no âmbito judicial, haja vista que cerca de 100 processos que circundam a matéria foram tornados públicos mediante divulgação do portal da transparência da ANPD², ocorre que na esfera administrativa apenas agora a ANPD, na qualidade de órgão responsável pela fiscalização e aplicação de sanções relativas à proteção de dados pessoais, está apta a tomar frente nas discussões relativas a infrações.

Para tanto, o Regulamento definiu que a aplicação das sanções pela ANPD, além de ser gradativa, deve pautar-se na peculiaridade do caso concreto e individualidade do infrator, de modo a respeitar a proporcionalidade da gravidade da conduta do agente e da sanção a ser aplicada, observando os parâmetros e critérios dispostos em seu artigo 7º, como: grau do dano, vantagem auferida ou pretendida pelo infrator, condição econômica do infrator, reincidência (se específica ou genérica), cooperação do infrator, assim como a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar a ocorrência ou a extensão do dano – em outras palavras um programa de governança em proteção de dados.

Com o fim de assegurar a proporcionalidade na aplicação das sanções, que ocorrerá de forma gradativa, isolada ou cumulativa, o Regulamento estabelece, em seu artigo 8º, uma classificação segundo a gravidade e a natureza das infrações e dos direitos pessoais afetados, entre leve, média ou grave, sendo que a definição quanto à classificação da infração decorrerá diretamente da consequência gerada aos titulares dos dados, o que dependerá de uma análise casuística e subjetiva da ANPD. Seu posicionamento acerca desta análise subjetiva somente ficará claro após o início da aplicação do Regulamento.

A classificação das infrações afeta diretamente a definição quanto às sanções que poderão ser aplicadas ao infrator (artigo 3º do Regulamento), devendo ser observada uma ordem progressiva. Assim, exemplificativamente, aquelas mais gravosas – suspensão parcial do funcionamento do banco de dados, suspensão do exercício da atividade de tratamento dos dados pessoais e proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados – somente poderão ser aplicadas quando já tiver sido imposta sanção mais branda prevista na Resolução.

O Regulamento estabelece, ainda, a observância das garantias de direito processual, ao estipular que as sanções somente serão aplicadas após devido procedimento administrativo, mediante decisão fundamentada da ANPD, assegurado o direito à ampla defesa, ao contraditório e ao devido processo legal.

Com base no nítido fator inspiracional da LGPD em relação à legislação europeia de proteção de dados pessoais (General Data Protection Regulation – GDPR) e a atuação do seu órgão responsável pela fiscalização e aplicação de sanções, que já aplicou mais de 293 milhões de euros em sanções, distribuídos em mais de 700 condenações desde sua a entrada em vigor (2018), a tendência é que, no Brasil, sejam seguidos os mesmos passos no que tange à aplicação de sanções.

Neste ponto, é preciso relembrar o cenário encontrado na Europa após a entrada em vigor da GDPR, que se apresentou com baixa aplicação de sanções nos primeiros meses, visto que as autoridades locais priorizaram inicialmente a orientação e depois a aplicação de sanções, que depois de iniciada consistiu, em sua maioria, em altas multas pecuniárias e relevante prejuízo aos infratores.

Assim, considerando que a entrada em vigor da LGPD ocorreu em setembro de 2020 e que desde então a ANPD tem se empenhado na publicação de orientações sobre a LGPD, é possível que essa a fase de pura conscientização esteja próxima do fim e que o cenário que encontraremos após a publicação da resolução seja de imediata dedicação da ANPD à fiscalização e aplicação de sanções. As penalizações poderão ser inicialmente mais brandas, considerando a recente manifestação do órgão no sentido de que prezará pelo viés orientativo e educativo, assim como pela proporcionalidade.

Com a publicação do Regulamento de Dosimetria das Sanções Administrativas ficou ainda mais clara a importância das empresas e organizações investirem na criação de uma cultura de proteção de dados e em programas de governança em privacidade.

Há que ser levado em conta que, ao fim, será menos custoso e danoso para a empresa/organização investir em treinamentos e programas efetivos, que além de evitarem a ocorrência da infração podem implicar em até 75% de redução na multa, do que vir a ter que arcar com as possíveis sanções a serem aplicadas pela ANPD, em especial considerando a cobrança já existente no mercado para comprovação de conformidade com a LGPD como condição para que sejam firmadas novas parcerias e negócios.

 

___

¹ Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-publica-regulamento-de-dosimetria/Resolucaon4CDANPD24.02.2023.pdf – Acesso em 13/03/2023

² Disponível em: https://anppd.org/violacoes – Acesso em 13/02/2023

ANPD lança Guia para Cookies e Proteção de Dados Pessoais

Em outubro de 2022, a Autoridade Nacional de Proteção de Dados apresentou o Guia Orientativo sobre Cookies e Proteção de Dados Pessoais. A publicação tem como objetivo orientar os agentes de tratamento na coleta de dados pessoais por meio de Cookies com o uso de tecnologias de rastreamentos online, como aquelas utilizadas em celulares e tablets.

A primeira observação da ANPD é que a diferenciação entre cookies necessários e não necessários é essencial para a implementação de Proteção de Dados Pessoais e relevante para a definição da base legal que autorizará a coleta dos dados pessoais por meio da utilização dessa ferramenta.

Assim, ao correlacionar a Coleta de Dados Pessoais e o uso de Cookies à LGPD, a Autoridade ressalta os princípios previstos na Lei e que devem ser observados pelos agentes de tratamentos, a saber: (a) Princípios da finalidade, necessidade e adequação; e (b) Princípios do livre acesso e da transparência.

A autoridade ressalta, neste ponto, que uma boa prática para o Tratamento e Proteção de Dados Pessoais coletados por meio de cookies é avisar ao titular como gerenciá-los, bem como oferecer a possibilidade de o titular recusar os cookies que não são necessários para a navegação e informá-lo que é possível que os cookies sejam excluídos, ou desabilitados. Tais práticas podem ser realizadas através de banners na página da internet ou detalhadas em políticas ou avisos de privacidade.

O guia ainda define que é extremamente relevante ressaltar os direitos dos titulares para a coleta de cookies, em especial o direito de acesso, de eliminação dos dados, revogação de consentimento e oposição do tratamento, mediante procedimento gratuito e facilitado, nos termos da LGPD.

Ao término do tratamento de dados pessoais coletados pelo cookie, deve ser realizada a devida eliminação dos dados pessoais, exceto nas hipóteses previstas na LGPD. Assim, o período de retenção de cookies deve ser compatível com a finalidade do tratamento e estritamente necessário para que se alcance a finalidade pretendida.

A Autoridade também discorre sobre as hipóteses legais, previstas no artigo 7º da LGPD, que podem embasar a coleta de cookies e, embora ressalte que todas elas possam ser utilizadas, afirma que duas, em especial, são as mais usuais: o consentimento e o legítimo interesse.

Sobre o consentimento, além de ser livre, informado e inequívoco, é importante que não seja coletado de forma tácita, por meio de banners ou autorização pré-selecionada por quaisquer mecanismos de consentimento tácito ou pressuposto.

Para o caso de coleta de dados pessoais sensíveis, além dos requisitos acima, o agente de tratamento deve também observar que o consentimento seja específico e destacado, constando a autorização separadamente do texto principal ou evidenciando-a dentro do texto.

Para que não ocorra violação ao direito dos titulares, o guia prevê ainda que os agentes de tratamento devem observar as hipóteses legais previstas na LGPD para aplicação dos cookies e devem fornecer informações claras, precisas e acessíveis ao titular, para que este possa controlar e compreender o uso de seus dados pessoais.

Por fim, o documento oferece ainda orientações sobre conteúdo de Políticas de Cookies e de Banners Eletrônicos, diferenciando as duas ferramentas e possibilitando ao agente de tratamento entender o que deve estar previsto na Política e quando utilizar o Banner.

 

Clique aqui para outros temas recentes.

Lei Geral de Proteção de Dados Pessoais no Brasil

Após anos de debates, foi recentemente sancionada a Lei Geral de Proteção de Dados Pessoais no Brasil (“LGPD”) – Lei nº 13.709/18. A nova lei foi aprovada por unanimidade em regime de emergência pelo Plenário do Senado Federal em decorrência da entrada em vigor, em maio deste ano, da legislação europeia de proteção de dados, o Regulamento Geral de Proteção de Dados (“GDPR”).

O GDPR, por sua vez, tem como um dos pilares sua aplicação extraterritorial, uma vez que seus impactos não se restringem a União Europeia, exigindo, portanto, a adaptação de empresas brasileiras que trabalham na União Européia ou processam dados de cidadãos europeus, a fim de evitarem as vultosas e rigorosas multas previstas nesta lei, além de sanções de natureza comercial, como a perda de contratos com parceiros e clientes locais, e, ainda, a perda de credibilidade com forte abalo na reputação.

A legislação brasileira, que muito se assemelha à GPDR, define o que são “dados pessoais” e “tratamento” para fins de atendimento às suas disposições. Assim, “dados pessoais” são definidos “como qualquer informação que identifique diretamente ou torne identificável uma pessoa natural”; e “tratamento” é definido como “qualquer operação realizada com dados pessoais, como coleta, uso, acesso, transmissão, processamento, arquivamento, armazenamento, transferência, dentre outros”.

Desta forma, qualquer operação de processamento de dados pessoais realizada no território nacional, por pessoa física ou jurídica de direito público ou privado, cujos proprietários estejam localizados no Brasil ou objetivo seja a oferta de produtos ou serviços no país, deve seguir o disposto na LGPD, sendo umas das suas principais regras são: a obrigatoriedade do consentimento expresso do usuário para realização de qualquer operação e a obrigatoriedade de fornecer a esse mesmo usuário, opções para que ele possa visualizar, corrigir e excluir quaisquer de seus dados.

A lei institui ainda as figuras dos Agentes de Tratamento (controladores e operadores) e do Diretor de Proteção de Dados (“DPO”) com o objetivo de:

• Controlar o processamento de seus dados pessoais;
• Manter registros de todas as operações de tratamento através da elaboração do Relatório de Impacto sobre a Proteção de Dados Pessoais; e
• Monitorar e disseminar as boas práticas em relação à proteção de dados pessoais para funcionários e contratados da empresa.

Por fim, a LGPD prevê penalidades administrativas, que são aplicáveis pela autoridade nacional, aos Agentes de Tratamento, por infrações cometidas às regras estabelecidas nesta lei.

Com isso, as empresas devem estabelecer, desde já, cuidados especiais com o tratamento de dados pessoais, avaliando suas políticas e mecanismos de proteção de tais dados, sendo tais cuidados imediatos para as operações envolvendo parte que esteja sujeita ao GDPR, e que deverão ser observados por todas as empresas brasileiras a partir do momento em que a LGPD entrar em vigor.