Arquivos Lei Geral de Proteção de Dados Pessoais

Como o Poder Judiciário está interpretando a LGPD?

Posted on 20 de julho de 202320 de julho de 2023 by Gabriela Barreiro

Passados praticamente 2 anos de vigência da LGPD¹ é interessante analisar quais questões relacionadas a essa Lei estão sendo levadas ao Poder Judiciário brasileiro, como está sendo feita sua interpretação e respectivas consequências.

Em caso recente (março/2023) julgado pelo STJ² foi afastado o pedido de indenização por danos morais pautado no simples vazamento de dados pessoais. Essa Corte reconheceu que o vazamento de dados é uma falha, mas a sua simples ocorrência, sem a demonstração efetiva de dano moral suportado pelo titular dos dados, não gera direito indenizatório. Dentre os Tribunais Estaduais que já analisaram pedidos de ressarcimento por danos morais vinculados ao vazamento de dados, maior parte está alinhado com esse entendimento do STJ.

Ainda sobre vazamento de dados constata-se que os julgadores estão atentos e valorizando todas as práticas dos controladores de dados para tentar garantir sua segurança, o que está alinhado com alguns preceitos trazidos pela própria LGPD no sentido de atenuar sanções quando há demonstração de que foram adotadas as medidas possíveis para atender os requisitos de segurança.

Outra situação que gerou indenização por danos morais na esfera cível: o Autor da ação recebeu ligações de telemarketing após encerramento da relação contratual entre as Partes. Essa conduta foi caracterizada como ilícita e abusiva porque a empresa Ré descumpriu o pedido de retirada dos dados pessoais do seu cadastro.

Redes sociais têm sido responsabilizadas (danos morais) por acesso de terceiros a perfil, especialmente pela dificuldade de o dono desse perfil reaver sua conta e pela falta de segurança que deveria ter sido ofertada pelo provedor da rede.

Aplicativos de mensagem também são alvo de responsabilização (danos materiais) em situações nas quais o usuário foi vítima de estelionato praticado nesse ambiente e que o fraudador utilizou dados pessoais da filha da vítima (foto e filiação) para obter vantagem financeira.

A Justiça do Trabalho (JT) também tem enfrentado o tema LGPD com frequência. Dentre as decisões que foram localizadas e analisadas 35 % decorrem de ações ajuizadas na JT e os litígios/decisões foram os seguintes:

❯ Manutenção de demissão por justa causa ao empregado que (ii) transferiu dados sensíveis de paciente do hospital empregador para constituir prova em ação trabalhista; (ii) copiou dados pessoais e bancários de clientes e repassou para si e para terceiros; (iii) utilizava dados pessoais de clientes para vender remédios com desconto para outros clientes; (iv) repassou dados sigilosos da empresa ao seu e-mail pessoal.

❯ Determinação de entrega de todos os documentos relativos à relação empregatícia ao ex-empregado, por se tratar de dados pessoais que lhe pertencem.

❯ Indeferimento de pedido feito pelo Sindicato quanto ao apontamento de empregados diagnosticados com Covid, por se tratar de dado sensível, que depende de consentimento do titular.

❯ Pedidos de indenização por danos morais reconhecidos pelas seguintes razões: (i) manutenção de publicidade de telefone de ex-empregado, que continuou recebendo ligações de clientes após término do vínculo trabalhista; (ii) vazamento de dados de atestado médico de empregado via aplicativo de mensagem; (iii) uso indevido de dados dos empregados por empresa que determinou que estes inserissem CPF próprio quando o cliente se negava a prestar tal informação.

❯ Decisões no sentido de determinar que a empresa de telefone forneça dados quando esse pedido decorre de ordem judicial, não podendo essa empresa negar o envio desses dados com fundamento na LGPD, porque o Judiciário não está vinculado a essa lei.

A respeito da cláusula normativa que obriga o empregador a entregar ao Sindicato dados dos seus empregados, não há consenso perante os Tribunais Regionais do Trabalho, havendo decisões no sentido de autorizar o compartilhamento de dados pautado nessa previsão contratual e outras condicionando essa prática ao consentimento do titular dos dados (empregado), não sendo suficiente nesse caso o ajuste entre a empresa e o Sindicato.

Esse é o panorama geral diagnosticado até o presente momento quanto aos temas que geraram discussões judiciais sobre LGPD e como esses litígios foram decididos pelo Poder Judiciário Brasileiro. Cabe destacar que: (i) não foram localizadas decisões judiciais que versam sobre o questionamento de aplicação de sanções administrativas pela ANPD, talvez porque a punição por esse órgão, apesar da firme fiscalização, é recente, razão pela qual as reclamações não tenham ainda sido levadas ao judiciário ou, se foram, ainda não foram julgadas; (ii) muitas decisões analisadas ainda não são definitivas e podem ser reformadas nas instâncias superiores; e (iii) o volume de casos identificados ainda não é significativo (93 no total), se considerada a dimensão do Brasil e a quantidade de ações que são anualmente ajuizadas³.

___

O posicionamento do judiciário quanto às normas da LGPD merece um monitoramento constante porque ainda há uma série de possíveis discussões pautadas nessa legislação que não foram apreciadas e, com relação aos pontos já apreciados, ainda são em número inexpressivos e certamente ainda haverá decisões divergentes e inéditas.

¹ A Lei Geral de Proteção de Dados brasileira – Lei 13.709 – foi publicada em agosto de 2018, sendo que mas sua vigência ocorreu de forma escalonada: (i) Dezembro/2018 para os artigos que tratam sobre a criação e atuação da Autoridade Nacional de Proteção de Dados (ANPD) e o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade; (ii) Maio/2021 para os artigos gerais (disposições preliminares, tratamento dos dados pessoais, direitos do titular, responsabilidade, entre outros); e (iii) Agosto/2021 para os artigos que tratam sobre as sanções administrativas.

² https://processo.stj.jus.br/processo/pesquisa/?aplicacao=processos.ea&tipoPesquisa=tipo
PesquisaGenerica&termo=AREsp%202130619

³ “Total de casos novos em 12 meses: 27,7 milhões – crescimento de 10,4% em relação a 2020. Considerando apenas as ações ajuizadas pela primeira vez em 2021, o total é de 19,1 milhões.” Sumário Executivo Justiça em Números 2022 / Publicado pelo CNJ – Conselho Nacional de Justiça: https://www.cnj.jus.br/wp-content/uploads/2022/09/sumario-executivo-jn-v3-2022-2022-09-15.pdf

ANPD aplica primeira sanção em processo administrativo

Posted on 6 de julho de 2023 by Gabriela Barreiro

A ANPD publicou hoje, 06 de julho de 2023, a primeira sanção aplicada pelo órgão em processo administrativo. A autoridade condenou uma empresa de Telemarketing, nos autos do processo nº 00261.000489/2022-62, por infrações ao artigo 41 da Lei 13.709/2018 (LGPD), pois a empresa deixou de indicar Encarregado pelo Tratamento de Dados Pessoais; ao artigo 7º, uma vez que a empresa tratou dados pessoais sem adequação necessária às hipóteses legais que permitem o tratamento de dados pessoais e que estão previstas no artigo; e, por fim, ao artigo 5º, tendo em vista que a empresa tratou dados pessoais sem observar os princípios e conceitos previstos na Lei.

A sanção imposta pela infração ao artigo 41 corresponde à advertência sem imposição de medidas corretivas. Pelas infrações aos artigos 7º e 5º, a empresa foi multada nos valores de R$ 7.200,00 (sete mil e duzentos reais), por infração, o que totalizou a quantia de R$ 14.400 (catorze mil e quatrocentos reais). A ANPD ainda determinou a redução de 25% (vinte e cinco por cento) do total do valor das multas aplicadas, caso a empresa renuncie expressamente ao direito de recorrer da decisão, nos termos do artigo 18 do Regulamento de Fiscalização, e recolha o valor total de R$ 10.800 (dez mil e oitocentos reais), no prazo máximo de 20 (vinte) dias úteis da ciência da decisão, conforme artigo 17 da Regulamentação de Fiscalização.

Se a empresa desejar recorrer, poderá protocolar recurso em um prazo de 10 (dez) dias úteis, a contar da ciência da decisão. Caso a decisão transite em julgado e não seja cumprida, as multas poderão ser executadas pela Procuradoria Federal Especializada da ANPD e a empresa inscrita no CADIN e na Dívida Ativa da União.

Clique aqui para outros temas recentes.

Sanções administrativas da ANPD: o que as empresas precisam saber

Posted on 3 de maio de 20233 de maio de 2023 by Gabriela Barreiro

Inicialmente serão adotados pelo órgão métodos de monitoramento extensivo e superficial para identificar potenciais infratores

Desde a publicação do Regulamento de Dosimetria e Aplicação de Sanções Administrativas¹, já foram instaurados pela Autoridade Nacional de Proteção de Dados (ANPD) oito processos administrativos sancionatórios, sendo sete deles em face de agentes ligados à Administração Pública e um ao setor privado.

A divulgação destes processos demonstra que a ANPD está cumprindo com a obrigação de fiscalização, e acaba por gerar o questionamento e um inquietamento das empresas acerca do que esperar da autoridade.

Os representantes do órgão já se manifestaram em eventos públicos sobre sua atuação, esclarecendo que será responsiva e proporcional ao comportamento dos agentes regulados, levando em consideração as peculiaridades do caso concreto.

É inegável que, desde sua elaboração, a LGPD pautou-se na regulação responsiva, uma espécie de alternativa ao modelo tradicional de fiscalização que possui viés predominantemente punitivista, demonstrando em suas disposições a preferência por uma atuação preventiva, educativa e direcionada ao alcance da conformidade regulatória.

Baseada na teoria responsiva da regulação criada por Ian Ayres e John Braithwaite², a regulação responsiva pode ser representada por uma pirâmide de enforcement ou de constrangimento. Trazendo esta teoria para atuação da ANPD, notar-se-á que ela possui em sua base a autorregulação (agentes que exercem espontaneamente a adequação com a legislação), em seguida, no meio pirâmide, a autorregulação compulsória (agentes que se adequam em razão da atuação discreta do regulador) e, no topo, agentes que demandam atuação pesada, resultando em aplicação de sanções expressivas.

Essa representação de pirâmide de constrangimento enaltece a conscientização e adequação espontânea dos agentes regulados, restringindo a atuação sancionatória do órgão regulador para casos pontuais de desrespeito e descaso à legislação e a sua atuação.

Nesse sentido, inicialmente serão adotados pela ANPD métodos de monitoramento extensivo e superficial, para identificação de potenciais infratores. Quando identificadas situações de desconformidade, sua atuação para combatê-las terá cunho orientativo, visando à adequação do infrator aos termos da LGPD, com indicação de medidas a serem adotadas, ou seja, reflexo do infrator posicionado no meio da pirâmide de constrangimento. Caso não respeitadas, com nítido descaso por parte do agente regulado, dar-se-á início ao processo repressivo, mediante instauração de processo administrativo sancionatório, com consequente elevação do infrator ao topo da pirâmide de constrangimento.

Todo esse processo pretende e tende resultar que os agentes expectadores da atuação da ANPD desejem estar posicionados na base da pirâmide, logo, invistam na adequação à LGPD, para justamente não receberem tratamento ostensivo direcionado aos agentes que estiverem no topo, como os alvos dos processos tornados públicos recentemente.

Apesar dos processos ainda estarem em fase de instrução, as entidades envolvidas já foram afetadas, indiscutivelmente, em virtude da publicidade promovida pela ANPD, impactando negativa e diretamente na imagem e reputação dos entes, além de alastrar um sentimento de insegurança para os titulares de dados que, de certa forma, com elas se relacionam.

Impacto acentuado no caso de empresas privadas, para as quais a publicização pode causar prejuízos irreparáveis à reputação, até mesmo consequências econômicas mais graves do que uma sanção pecuniária, considerando a comprovada e crescente preocupação dos cidadãos com o uso indevido de seus dados pessoais, além da conformidade com a LGPD ser, atualmente, uma usual condição para que sejam firmadas novas parcerias e negócios.

À vista disso, respondendo aos anseios dos empresários face ao início da atuação sancionatória da ANPD, a melhor maneira de afastar o risco de se tornar alvo da autoridade é buscar estar posicionado sempre na base da pirâmide de constrangimento.

O primeiro passo para trilhar esse caminho é a implementação de um programa de governança em proteção de dados , que deverá ser seguido de um trabalho contínuo de atualização e monitoramento, sempre amparado por profissionais especializados, inteirados e alinhados com o posicionamento da ANPD, especialmente nessa nova fase e forma de atuação do órgão.

O motivo desse ser o principal caminho a ser seguido, pauta-se no que a ANPD irá avaliar no momento de uma fiscalização, que se estende muito além da existência de uma infração, mas se de fato a empresa possui mecanismos efetivos de proteção de dados, além do interesse do agente em resolver o problema e o tempo despendido para se adequar.

A partir da implementação dos mecanismos basilares de um programa de governança em proteção de dados, o risco de sofrer a aplicação de uma sanção pela ANPD é exponencialmente reduzido, principalmente porque não necessariamente uma infração à LGPD resultará na aplicação de uma penalidade. Com a comprovação de que a empresa ou entidade possuía internamente uma cultura de proteção de dados e procedimentos capazes de minimizar a ocorrência ou a extensão dos danos, a condenação pode ser afastada ou, ao menos, a multa pode ser atenuada, em até 75%.

De forma prática, o investimento das empresas em um adequado programa de governança em proteção de dados traz, indiscutivelmente, reflexos positivos, de modo que a proatividade e o desejo espontâneo de buscar a conformidade com a LGPD coloca estas empresas na base da pirâmide de conformidade, que é o melhor cenário de relacionamento com a ANPD.

Ainda, o pior cenário que essas empresas podem enfrentar é a ocupação do meio da pirâmide, cabendo a elas corrigir eventuais comportamentos e/ou procedimentos. Por fim, o desfecho positivo é que elas nunca alcançarão o topo da pirâmide, no que diz respeito à atuação regulatória responsiva da ANPD, e consequentemente se esquivam da possibilidade de aplicação de sanções expressivas por meio de processos administrativos sancionatórios.

___

¹ Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-publica-regulamento-de-dosimetria/Resolucaon4CDANPD24.02.2023.pdf

² AYRES, Ian; BRAITHWAITE, John, Responsive regulation: Transcending the deregulation debate, New York: Oxford University Press, 1992.

* Artigo publicado originalmente no Jota.

Despesas com adequação à LGPD: insumos e créditos de PIS/Cofins

Posted on 3 de abril de 20233 de abril de 2023 by Gabriela Barreiro

A discussão acerca do direito de tomada de crédito do PIS e da COFINS no regime não cumulativo não tem fim. São diversos os questionamentos que gravitam em torno do tema, mormente porque definiu o STF¹ que cabe ao legislador ordinário o disciplinamento da matéria, já que, diferentemente da não cumulatividade do ICMS e IPI, aqui se trata de técnica de apuração.

Em verdade, a maior problemática gira em torno do conceito de insumos, na medida em que as leis disciplinadoras das contribuições – Leis 10.637/02 e 10.833/03 – não conceituaram o termo.

O STJ se debruçou sobre a questão, quando do julgamento do Tema 779. Segundo a Corte, o “conceito de insumo deve ser aferido à luz dos critérios de essencialidade ou relevância, ou seja, considerando-se a imprescindibilidade ou a importância de determinado item – bem ou serviço – para o desenvolvimento da atividade econômica desempenhada pelo contribuinte”.

Instado a se manifestar, o STF reiterou o entendimento do STJ de que os insumos não se limitam ao processo produtivo. Segundo o Min. Dias Toffoli:

“[…] para a formação de receita ou de faturamento, o contribuinte poderá incorrer não só em gastos relacionados com aquele processo formativo de produtos, mas também em outros quanto a bens ou serviços imprescindíveis ou importantes para o exercício de sua atividade econômica”. (grifei)²

Vê-se, pois, que o STF assentou que os gastos que são passíveis de creditamento são aqueles “imprescindíveis ou importantes” para o exercício de atividade econômica como um todo e não somente os gastos do processo produtivo.

Inclusive, o próprio CARF acolhe essa tese, a exemplo do entendimento fixado pela Câmara Superior ao consignar que “os serviços de marketing, propaganda e publicidade podem subsumir-se ao conceito de insumo aptos a gerar créditos das contribuições parafiscais desde que seja demonstrada e provada a essencialidade, relevância e a sua insuprimibilidade para o desempenho da atividade”.³

De concluir que o conceito de insumo deve ser analisado para além da cadeia produtiva, ou seja, enquadra-se no conceito de insumo tudo que seja utilizado, empregado ou consumido, ainda que indiretamente, no desenvolvimento da atividade empresarial.⁴

Recentemente, diante do posicionamento do STF, do STJ e do CARF, a Receita Federal precisou rever seu entendimento. Apesar de replicar muitas disposições do Parecer Normativo Cosit nº 05/2018, a IN 2121/2022 possibilitou a tomada de crédito de bens e serviços exigidos por imposição legal e infralegal. Esse posicionamento ganha contornos importantíssimos, sobretudo na era da Big Data.

A proteção de dados na última década alcançou uma proporção inimaginável. A cultura da proteção de dados foi incentivada e o próprio Constituinte derivado a alçou à categoria de Direito Fundamental, por meio da EC nº 115/2022.

Essa alteração reflete a importância do tratamento de dados na atualidade, o que já vinha sendo referendado pelas Cortes Superiores. O STF⁵, ainda em 2020, já havia afirmado que a proteção de dados pessoais seria um direito fundamental implícito na Constituição.

Outrossim, a proteção de dados já tem guarida infraconstitucional. Inicialmente, com o Marco Civil da Internet (Lei 12.965/14), substituído, em 2018, pela Lei Geral de Proteção de Dados – LGPD (Lei 13.709/18), que regula o tratamento de dados pessoais, principalmente em meios digitais.

A LGPD obriga as empresas a adotarem um bom tratamento de dados e incentiva a criação da cultura da proteção de dados. A adequação à LGPD obrigou as empresas a alterarem suas rotinas e protocolos operacionais e administrativos, que, embora não sejam diretamente ligadas ao seu objeto social, são imposições legais e demonstram serem essenciais e relevantes à atividade empresarial.

Tal obrigação culminou em despesas necessárias, como medidas organizacionais e de segurança para o compliance. Ou seja, a lei obrigou as empresas a instituírem regramentos internos e a investirem dinheiro para o bom cumprimento das determinações legais.

Ademais, a LGPD gera impactos nos negócios, no momento de tratar dados dos clientes e funcionários, de fazer a portabilidade de dados e de cooperar internacionalmente, quando isso for exigido.

Por se tratar de imposição legal, os gastos de LGPD devem ser tidos como insumos e, nesse contexto, as empresas podem tomar crédito destes valores. A propósito, vale destacar um trecho do voto do Min. Mauro Cambell Marques, no julgamento do Tema 779/STJ:

“após ouvir atentamente ao voto da Min. Regina Helena, sensibilizei-me com a tese de que a essencialidade e a pertinência ao processo produtivo não abarcariam as situações em que há imposição legal para a aquisição dos insumos (v.g., aquisição de equipamentos de proteção individual – EPI). Nesse sentido, considero que deve aqui ser adicionado o critério da relevância para abarcar tais situações, isto porque se a empresa não adquirir determinados insumos, incidirá em infração à lei”.⁶

Não bastasse a imposição legal, a adequação à LGPD por parte das empresas representa uma gigantesca vantagem competitiva, sobretudo diante do rigor internacional acerca da temática. O investimento em proteção de dados fortalece a confiança dos consumidores e parceiros comerciais e influi nas oportunidades de negócios e nas contratações públicas.

Apenas para reforçar a necessidade de considerar as despesas com adequação à LGPD como passíveis de creditamento, há no Senado Federal o projeto de lei 04/22 que modifica as Leis nº 10.637/02, 10.833/03 e 10.865/04, para possibilitar o desconto de créditos de PIS e da COFINS, na sistemática não cumulativa, sobre os investimentos contratados para adequação à LGPD, incluindo as “atividades essenciais e relevantes de assessoria e consultoria técnica, de segurança da informação e jurídica para alcance dos fins a que se destina”, bem como “atividades pedagógico-educacionais e culturais de difusão da LGPD”.

A aprovação da PL seria de grande valia, eis que proporcionaria uma maior segurança jurídica às empresas, bem como promoveria um importante incentivo para a estruturação de seus programas de governança em privacidade e proteção de dados.

Não obstante, acredita-se que o creditamento já é possível, uma vez que há imposição legal para que as empresas se adequem à LGPD, sob pena de aplicação de multa diária, o que enquadra essa despesa no conceito de insumo, pelo que indispensável ao exercício da atividade empresarial.

___

¹ Tema 756/STF – RE nº RE 841.979

² Voto do Min. Toffoli – Inteiro Teor do Acórdão – Página 18 de 89

³ Acórdão nº 3302-012.005, julgado em 26/10/2021

⁴ Medeiros e França. Tema 756/STF: permanece o conceito de insumo estabelecido pelo STJ. Disponível em: https://www.migalhas.com.br/depeso/378114/tema-756-stfpermanece-o-conceito-de-insumo-estabelecido-pelo-stj

⁵ ADI 6387, 6388, 6389 e 6390

⁶ Aditamento de Voto no RESP 1221170 / PR- Min. Mauro Campbell – p. 1

*Artigo publicado originalmente no Estadão.

Atuação sancionatória da Autoridade Nacional de Proteção de Dados como um meio propulsor na criação de uma cultura de proteção de dados

Posted on 21 de março de 202321 de março de 2023 by Gabriela Barreiro

Como um novo passo na criação de uma cultura de proteção de dados, a Resolução CD/ANPD Nº 4¹, publicada em 27 de fevereiro de 2023, regulamenta os artigos 52 e 53 da Lei nº 13.709, de 14 de agosto de 2018 – Lei Geral de Proteção de Dados e altera a Resolução CD/ANPD nº 1, de 28 de outubro de 2021. Com efeito imediato a partir da publicação, a Autoridade Nacional de Proteção de Dados (ANPD) poderá aplicar sanções administrativas decorrentes de violações à LGPD, seguindo parâmetros objetivos estipulados pelo Regulamento, bem como metodologia definida para dosimetria do valor-base das multas pecuniárias.

Muito embora inúmeras discussões sobre o tema de proteção de dados pessoais e aplicação de multas tenham ocorrido no âmbito judicial, haja vista que cerca de 100 processos que circundam a matéria foram tornados públicos mediante divulgação do portal da transparência da ANPD², ocorre que na esfera administrativa apenas agora a ANPD, na qualidade de órgão responsável pela fiscalização e aplicação de sanções relativas à proteção de dados pessoais, está apta a tomar frente nas discussões relativas a infrações.

Para tanto, o Regulamento definiu que a aplicação das sanções pela ANPD, além de ser gradativa, deve pautar-se na peculiaridade do caso concreto e individualidade do infrator, de modo a respeitar a proporcionalidade da gravidade da conduta do agente e da sanção a ser aplicada, observando os parâmetros e critérios dispostos em seu artigo 7º, como: grau do dano, vantagem auferida ou pretendida pelo infrator, condição econômica do infrator, reincidência (se específica ou genérica), cooperação do infrator, assim como a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar a ocorrência ou a extensão do dano – em outras palavras um programa de governança em proteção de dados.

Com o fim de assegurar a proporcionalidade na aplicação das sanções, que ocorrerá de forma gradativa, isolada ou cumulativa, o Regulamento estabelece, em seu artigo 8º, uma classificação segundo a gravidade e a natureza das infrações e dos direitos pessoais afetados, entre leve, média ou grave, sendo que a definição quanto à classificação da infração decorrerá diretamente da consequência gerada aos titulares dos dados, o que dependerá de uma análise casuística e subjetiva da ANPD. Seu posicionamento acerca desta análise subjetiva somente ficará claro após o início da aplicação do Regulamento.

A classificação das infrações afeta diretamente a definição quanto às sanções que poderão ser aplicadas ao infrator (artigo 3º do Regulamento), devendo ser observada uma ordem progressiva. Assim, exemplificativamente, aquelas mais gravosas – suspensão parcial do funcionamento do banco de dados, suspensão do exercício da atividade de tratamento dos dados pessoais e proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados – somente poderão ser aplicadas quando já tiver sido imposta sanção mais branda prevista na Resolução.

O Regulamento estabelece, ainda, a observância das garantias de direito processual, ao estipular que as sanções somente serão aplicadas após devido procedimento administrativo, mediante decisão fundamentada da ANPD, assegurado o direito à ampla defesa, ao contraditório e ao devido processo legal.

Com base no nítido fator inspiracional da LGPD em relação à legislação europeia de proteção de dados pessoais (General Data Protection Regulation – GDPR) e a atuação do seu órgão responsável pela fiscalização e aplicação de sanções, que já aplicou mais de 293 milhões de euros em sanções, distribuídos em mais de 700 condenações desde sua a entrada em vigor (2018), a tendência é que, no Brasil, sejam seguidos os mesmos passos no que tange à aplicação de sanções.

Neste ponto, é preciso relembrar o cenário encontrado na Europa após a entrada em vigor da GDPR, que se apresentou com baixa aplicação de sanções nos primeiros meses, visto que as autoridades locais priorizaram inicialmente a orientação e depois a aplicação de sanções, que depois de iniciada consistiu, em sua maioria, em altas multas pecuniárias e relevante prejuízo aos infratores.

Assim, considerando que a entrada em vigor da LGPD ocorreu em setembro de 2020 e que desde então a ANPD tem se empenhado na publicação de orientações sobre a LGPD, é possível que essa a fase de pura conscientização esteja próxima do fim e que o cenário que encontraremos após a publicação da resolução seja de imediata dedicação da ANPD à fiscalização e aplicação de sanções. As penalizações poderão ser inicialmente mais brandas, considerando a recente manifestação do órgão no sentido de que prezará pelo viés orientativo e educativo, assim como pela proporcionalidade.

Com a publicação do Regulamento de Dosimetria das Sanções Administrativas ficou ainda mais clara a importância das empresas e organizações investirem na criação de uma cultura de proteção de dados e em programas de governança em privacidade.

Há que ser levado em conta que, ao fim, será menos custoso e danoso para a empresa/organização investir em treinamentos e programas efetivos, que além de evitarem a ocorrência da infração podem implicar em até 75% de redução na multa, do que vir a ter que arcar com as possíveis sanções a serem aplicadas pela ANPD, em especial considerando a cobrança já existente no mercado para comprovação de conformidade com a LGPD como condição para que sejam firmadas novas parcerias e negócios.

___

¹ Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-publica-regulamento-de-dosimetria/Resolucaon4CDANPD24.02.2023.pdf – Acesso em 13/03/2023

² Disponível em: https://anppd.org/violacoes – Acesso em 13/02/2023

ANPD lança Guia para Cookies e Proteção de Dados Pessoais

Posted on 4 de novembro de 20224 de novembro de 2022 by Gabriela Barreiro

Em outubro de 2022, a Autoridade Nacional de Proteção de Dados apresentou o Guia Orientativo sobre Cookies e Proteção de Dados Pessoais. A publicação tem como objetivo orientar os agentes de tratamento na coleta de dados pessoais por meio de Cookies com o uso de tecnologias de rastreamentos online, como aquelas utilizadas em celulares e tablets.

A primeira observação da ANPD é que a diferenciação entre cookies necessários e não necessários é essencial para a implementação de Proteção de Dados Pessoais e relevante para a definição da base legal que autorizará a coleta dos dados pessoais por meio da utilização dessa ferramenta.

Assim, ao correlacionar a Coleta de Dados Pessoais e o uso de Cookies à LGPD, a Autoridade ressalta os princípios previstos na Lei e que devem ser observados pelos agentes de tratamentos, a saber: (a) Princípios da finalidade, necessidade e adequação; e (b) Princípios do livre acesso e da transparência.

A autoridade ressalta, neste ponto, que uma boa prática para o Tratamento e Proteção de Dados Pessoais coletados por meio de cookies é avisar ao titular como gerenciá-los, bem como oferecer a possibilidade de o titular recusar os cookies que não são necessários para a navegação e informá-lo que é possível que os cookies sejam excluídos, ou desabilitados. Tais práticas podem ser realizadas através de banners na página da internet ou detalhadas em políticas ou avisos de privacidade.

O guia ainda define que é extremamente relevante ressaltar os direitos dos titulares para a coleta de cookies, em especial o direito de acesso, de eliminação dos dados, revogação de consentimento e oposição do tratamento, mediante procedimento gratuito e facilitado, nos termos da LGPD.

Ao término do tratamento de dados pessoais coletados pelo cookie, deve ser realizada a devida eliminação dos dados pessoais, exceto nas hipóteses previstas na LGPD. Assim, o período de retenção de cookies deve ser compatível com a finalidade do tratamento e estritamente necessário para que se alcance a finalidade pretendida.

A Autoridade também discorre sobre as hipóteses legais, previstas no artigo 7º da LGPD, que podem embasar a coleta de cookies e, embora ressalte que todas elas possam ser utilizadas, afirma que duas, em especial, são as mais usuais: o consentimento e o legítimo interesse.

Sobre o consentimento, além de ser livre, informado e inequívoco, é importante que não seja coletado de forma tácita, por meio de banners ou autorização pré-selecionada por quaisquer mecanismos de consentimento tácito ou pressuposto.

Para o caso de coleta de dados pessoais sensíveis, além dos requisitos acima, o agente de tratamento deve também observar que o consentimento seja específico e destacado, constando a autorização separadamente do texto principal ou evidenciando-a dentro do texto.

Para que não ocorra violação ao direito dos titulares, o guia prevê ainda que os agentes de tratamento devem observar as hipóteses legais previstas na LGPD para aplicação dos cookies e devem fornecer informações claras, precisas e acessíveis ao titular, para que este possa controlar e compreender o uso de seus dados pessoais.

Por fim, o documento oferece ainda orientações sobre conteúdo de Políticas de Cookies e de Banners Eletrônicos, diferenciando as duas ferramentas e possibilitando ao agente de tratamento entender o que deve estar previsto na Política e quando utilizar o Banner.

Clique aqui para outros temas recentes.

Lei Geral de Proteção de Dados Pessoais no Brasil

Posted on 10 de outubro de 201819 de março de 2019 by Anni Varanda

Após anos de debates, foi recentemente sancionada a Lei Geral de Proteção de Dados Pessoais no Brasil (“LGPD”) – Lei nº 13.709/18. A nova lei foi aprovada por unanimidade em regime de emergência pelo Plenário do Senado Federal em decorrência da entrada em vigor, em maio deste ano, da legislação europeia de proteção de dados, o Regulamento Geral de Proteção de Dados (“GDPR”).

O GDPR, por sua vez, tem como um dos pilares sua aplicação extraterritorial, uma vez que seus impactos não se restringem a União Europeia, exigindo, portanto, a adaptação de empresas brasileiras que trabalham na União Européia ou processam dados de cidadãos europeus, a fim de evitarem as vultosas e rigorosas multas previstas nesta lei, além de sanções de natureza comercial, como a perda de contratos com parceiros e clientes locais, e, ainda, a perda de credibilidade com forte abalo na reputação.

A legislação brasileira, que muito se assemelha à GPDR, define o que são “dados pessoais” e “tratamento” para fins de atendimento às suas disposições. Assim, “dados pessoais” são definidos “como qualquer informação que identifique diretamente ou torne identificável uma pessoa natural”; e “tratamento” é definido como “qualquer operação realizada com dados pessoais, como coleta, uso, acesso, transmissão, processamento, arquivamento, armazenamento, transferência, dentre outros”.

Desta forma, qualquer operação de processamento de dados pessoais realizada no território nacional, por pessoa física ou jurídica de direito público ou privado, cujos proprietários estejam localizados no Brasil ou objetivo seja a oferta de produtos ou serviços no país, deve seguir o disposto na LGPD, sendo umas das suas principais regras são: a obrigatoriedade do consentimento expresso do usuário para realização de qualquer operação e a obrigatoriedade de fornecer a esse mesmo usuário, opções para que ele possa visualizar, corrigir e excluir quaisquer de seus dados.

A lei institui ainda as figuras dos Agentes de Tratamento (controladores e operadores) e do Diretor de Proteção de Dados (“DPO”) com o objetivo de:

• Controlar o processamento de seus dados pessoais;
• Manter registros de todas as operações de tratamento através da elaboração do Relatório de Impacto sobre a Proteção de Dados Pessoais; e
• Monitorar e disseminar as boas práticas em relação à proteção de dados pessoais para funcionários e contratados da empresa.

Por fim, a LGPD prevê penalidades administrativas, que são aplicáveis pela autoridade nacional, aos Agentes de Tratamento, por infrações cometidas às regras estabelecidas nesta lei.

Com isso, as empresas devem estabelecer, desde já, cuidados especiais com o tratamento de dados pessoais, avaliando suas políticas e mecanismos de proteção de tais dados, sendo tais cuidados imediatos para as operações envolvendo parte que esteja sujeita ao GDPR, e que deverão ser observados por todas as empresas brasileiras a partir do momento em que a LGPD entrar em vigor.