Atuação sancionatória da Autoridade Nacional de Proteção de Dados como um meio propulsor na criação de uma cultura de proteção de dados

Como um novo passo na criação de uma cultura de proteção de dados, a Resolução CD/ANPD Nº 4¹,  publicada em 27 de fevereiro de 2023, regulamenta os artigos 52 e 53 da Lei nº 13.709, de 14 de agosto de 2018 – Lei Geral de Proteção de Dados e altera a Resolução CD/ANPD nº 1, de 28 de outubro de 2021. Com efeito imediato a partir da publicação, a Autoridade Nacional de Proteção de Dados (ANPD) poderá aplicar sanções administrativas decorrentes de violações à LGPD, seguindo parâmetros objetivos estipulados pelo Regulamento, bem como metodologia definida para dosimetria do valor-base das multas pecuniárias.

Muito embora inúmeras discussões sobre o tema de proteção de dados pessoais e aplicação de multas tenham ocorrido no âmbito judicial, haja vista que cerca de 100 processos que circundam a matéria foram tornados públicos mediante divulgação do portal da transparência da ANPD², ocorre que na esfera administrativa apenas agora a ANPD, na qualidade de órgão responsável pela fiscalização e aplicação de sanções relativas à proteção de dados pessoais, está apta a tomar frente nas discussões relativas a infrações.

Para tanto, o Regulamento definiu que a aplicação das sanções pela ANPD, além de ser gradativa, deve pautar-se na peculiaridade do caso concreto e individualidade do infrator, de modo a respeitar a proporcionalidade da gravidade da conduta do agente e da sanção a ser aplicada, observando os parâmetros e critérios dispostos em seu artigo 7º, como: grau do dano, vantagem auferida ou pretendida pelo infrator, condição econômica do infrator, reincidência (se específica ou genérica), cooperação do infrator, assim como a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar a ocorrência ou a extensão do dano – em outras palavras um programa de governança em proteção de dados.

Com o fim de assegurar a proporcionalidade na aplicação das sanções, que ocorrerá de forma gradativa, isolada ou cumulativa, o Regulamento estabelece, em seu artigo 8º, uma classificação segundo a gravidade e a natureza das infrações e dos direitos pessoais afetados, entre leve, média ou grave, sendo que a definição quanto à classificação da infração decorrerá diretamente da consequência gerada aos titulares dos dados, o que dependerá de uma análise casuística e subjetiva da ANPD. Seu posicionamento acerca desta análise subjetiva somente ficará claro após o início da aplicação do Regulamento.

A classificação das infrações afeta diretamente a definição quanto às sanções que poderão ser aplicadas ao infrator (artigo 3º do Regulamento), devendo ser observada uma ordem progressiva. Assim, exemplificativamente, aquelas mais gravosas – suspensão parcial do funcionamento do banco de dados, suspensão do exercício da atividade de tratamento dos dados pessoais e proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados – somente poderão ser aplicadas quando já tiver sido imposta sanção mais branda prevista na Resolução.

O Regulamento estabelece, ainda, a observância das garantias de direito processual, ao estipular que as sanções somente serão aplicadas após devido procedimento administrativo, mediante decisão fundamentada da ANPD, assegurado o direito à ampla defesa, ao contraditório e ao devido processo legal.

Com base no nítido fator inspiracional da LGPD em relação à legislação europeia de proteção de dados pessoais (General Data Protection Regulation – GDPR) e a atuação do seu órgão responsável pela fiscalização e aplicação de sanções, que já aplicou mais de 293 milhões de euros em sanções, distribuídos em mais de 700 condenações desde sua a entrada em vigor (2018), a tendência é que, no Brasil, sejam seguidos os mesmos passos no que tange à aplicação de sanções.

Neste ponto, é preciso relembrar o cenário encontrado na Europa após a entrada em vigor da GDPR, que se apresentou com baixa aplicação de sanções nos primeiros meses, visto que as autoridades locais priorizaram inicialmente a orientação e depois a aplicação de sanções, que depois de iniciada consistiu, em sua maioria, em altas multas pecuniárias e relevante prejuízo aos infratores.

Assim, considerando que a entrada em vigor da LGPD ocorreu em setembro de 2020 e que desde então a ANPD tem se empenhado na publicação de orientações sobre a LGPD, é possível que essa a fase de pura conscientização esteja próxima do fim e que o cenário que encontraremos após a publicação da resolução seja de imediata dedicação da ANPD à fiscalização e aplicação de sanções. As penalizações poderão ser inicialmente mais brandas, considerando a recente manifestação do órgão no sentido de que prezará pelo viés orientativo e educativo, assim como pela proporcionalidade.

Com a publicação do Regulamento de Dosimetria das Sanções Administrativas ficou ainda mais clara a importância das empresas e organizações investirem na criação de uma cultura de proteção de dados e em programas de governança em privacidade.

Há que ser levado em conta que, ao fim, será menos custoso e danoso para a empresa/organização investir em treinamentos e programas efetivos, que além de evitarem a ocorrência da infração podem implicar em até 75% de redução na multa, do que vir a ter que arcar com as possíveis sanções a serem aplicadas pela ANPD, em especial considerando a cobrança já existente no mercado para comprovação de conformidade com a LGPD como condição para que sejam firmadas novas parcerias e negócios.

 

___

¹ Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-publica-regulamento-de-dosimetria/Resolucaon4CDANPD24.02.2023.pdf – Acesso em 13/03/2023

² Disponível em: https://anppd.org/violacoes – Acesso em 13/02/2023

Publicada pela Autoridade Nacional de Dados Resolução que regulamenta a Aplicação e Dosimetria das Sanções

Em 27 de fevereiro de 2023, foi publicada a Regulamentação nº 4/23 CD/ANPD, que estabelece os parâmetros e critérios para aplicação de sanções administrativas pela Autoridade Nacional de Proteção de Dados (ANPD), bem como as dosimetrias para o cálculo do valor-base das sanções da multa.

A aplicação da Sanção se dará após o regular procedimento administrativo, garantido o direito de ampla defesa e o devido processo legal. Se houver pluralidade de infratores, será aplicada de forma a individualizar a conduta de cada um dos infratores e toda decisão proferida deverá ser fundamentada.

Ponto importante da resolução é que as sanções se darão de forma gradativa, com a progressão da atuação da ANPD para sanções mais graves, na hipótese de a sanção leve não ser cumprida ou não houver regularização da infração depois de sanção imposta pela ANPD, sendo certo que a aplicação de sanções não obsta a atuação do órgão para adoção de outras medidas previstas na LGPD ou resoluções da ANPD.

Os critérios para aplicação das sanções levarão em conta: a gravidade e a natureza das infrações; a vantagem auferida ou pretendida pelo infrator; a condição econômica do infrator; a reincidência específica, considerada pela resolução a repetição da infração pelo mesmo infrator ao mesmo dispositivo legal ou regulamentar, no período de 5 (cinco) anos, contado do trânsito em julgado do processo administrativo sancionador, até a data do cometimento da nova infração; a reincidência genérica, considerada como o cometimento de infração pelo mesmo infrator, independentemente do dispositivo legal ou regulamentar, no período de 5 (cinco) anos, a contar do trânsito em julgado do processo administrativo sancionador até a data da nova infração, excluída a hipótese de reincidência específica; bem como o grau do dano.

Os critérios para aplicação também levam em conta a responsabilidade de atuação do infrator, como: a sua boa-fé; a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com a LGPD; a adoção de política de boas práticas e governança; a pronta atenção de medidas corretivas, e a proporcionalidade entre a gravidade da falta e a intensidade da ação.

A infração poderá ser considerada leve, média ou grave, a depender da lesão que gerar aos titulares dos dados pessoais afetados, incluindo eventuais danos materiais ou morais, como discriminação e violação à integridade física, à imagem e à reputação.

As sanções administrativas que podem ser aplicadas pela ANPD são as seguintes: advertência, quando a infração for leve ou média e não caracterize reincidência; multa simples, quando o infrator não tenha atendido à medida preventiva determinada pela ANPD, se a infração for grave e/ou, caso pela natureza da infração, seja a única sanção possível, sendo certo que a resolução ainda prevê quais os parâmetros para a aplicação da multa simples e quais serão as agravantes e atenuantes para a determinação do valor base da multa, que deve ser paga em até 20 (vinte) dias úteis. A ANPD pode aplicar ainda a multa diária para garantir o cumprimento da sanção, publicização da infração, após devidamente apurada e confirmada a sua ocorrência e bloqueio dos dados pessoais a que se refere a infração até a sua regularização.

Após aplicadas uma das sanções acima, a ANPD poderá aplicar ainda, ao mesmo caso concreto, em uma atuação progressiva: a eliminação dos dados pessoais a que se refere a infração, suspensão parcial do funcionamento do banco de dados a que se refere a infração e proibição parcial ou total do exercício das atividades relativas ao tratado de dados. A forma de aplicação das sanções aqui citadas, também estão reguladas pela resolução.

Por fim, a resolução modifica a resolução nº 1/2021 – CD/ANPD para inserir a possibilidade de progressão das medidas preventivas até as medidas de sanção, no caso de não cumprimento das primeiras quando aplicadas pela ANPD, bem como modificações procedimentais nos recursos das decisões proferidas em Processo Administrativo Sancionador.

 

Clique aqui para outros temas recentes.

ANPD lança Guia para Cookies e Proteção de Dados Pessoais

Em outubro de 2022, a Autoridade Nacional de Proteção de Dados apresentou o Guia Orientativo sobre Cookies e Proteção de Dados Pessoais. A publicação tem como objetivo orientar os agentes de tratamento na coleta de dados pessoais por meio de Cookies com o uso de tecnologias de rastreamentos online, como aquelas utilizadas em celulares e tablets.

A primeira observação da ANPD é que a diferenciação entre cookies necessários e não necessários é essencial para a implementação de Proteção de Dados Pessoais e relevante para a definição da base legal que autorizará a coleta dos dados pessoais por meio da utilização dessa ferramenta.

Assim, ao correlacionar a Coleta de Dados Pessoais e o uso de Cookies à LGPD, a Autoridade ressalta os princípios previstos na Lei e que devem ser observados pelos agentes de tratamentos, a saber: (a) Princípios da finalidade, necessidade e adequação; e (b) Princípios do livre acesso e da transparência.

A autoridade ressalta, neste ponto, que uma boa prática para o Tratamento e Proteção de Dados Pessoais coletados por meio de cookies é avisar ao titular como gerenciá-los, bem como oferecer a possibilidade de o titular recusar os cookies que não são necessários para a navegação e informá-lo que é possível que os cookies sejam excluídos, ou desabilitados. Tais práticas podem ser realizadas através de banners na página da internet ou detalhadas em políticas ou avisos de privacidade.

O guia ainda define que é extremamente relevante ressaltar os direitos dos titulares para a coleta de cookies, em especial o direito de acesso, de eliminação dos dados, revogação de consentimento e oposição do tratamento, mediante procedimento gratuito e facilitado, nos termos da LGPD.

Ao término do tratamento de dados pessoais coletados pelo cookie, deve ser realizada a devida eliminação dos dados pessoais, exceto nas hipóteses previstas na LGPD. Assim, o período de retenção de cookies deve ser compatível com a finalidade do tratamento e estritamente necessário para que se alcance a finalidade pretendida.

A Autoridade também discorre sobre as hipóteses legais, previstas no artigo 7º da LGPD, que podem embasar a coleta de cookies e, embora ressalte que todas elas possam ser utilizadas, afirma que duas, em especial, são as mais usuais: o consentimento e o legítimo interesse.

Sobre o consentimento, além de ser livre, informado e inequívoco, é importante que não seja coletado de forma tácita, por meio de banners ou autorização pré-selecionada por quaisquer mecanismos de consentimento tácito ou pressuposto.

Para o caso de coleta de dados pessoais sensíveis, além dos requisitos acima, o agente de tratamento deve também observar que o consentimento seja específico e destacado, constando a autorização separadamente do texto principal ou evidenciando-a dentro do texto.

Para que não ocorra violação ao direito dos titulares, o guia prevê ainda que os agentes de tratamento devem observar as hipóteses legais previstas na LGPD para aplicação dos cookies e devem fornecer informações claras, precisas e acessíveis ao titular, para que este possa controlar e compreender o uso de seus dados pessoais.

Por fim, o documento oferece ainda orientações sobre conteúdo de Políticas de Cookies e de Banners Eletrônicos, diferenciando as duas ferramentas e possibilitando ao agente de tratamento entender o que deve estar previsto na Política e quando utilizar o Banner.

 

Clique aqui para outros temas recentes.

Publicada Lei sobre preservação dos dados pessoais de pacientes com doenças crônicas

Foi publicada, em janeiro de 2022, no Diário Oficial da União, a Lei 14.289/2022, que torna obrigatória a preservação do sigilo de pessoas que vivem com infecção pelos vírus da imunodeficiência humana (HIV), das hepatites crônicas (HBV e HCV), de pessoas com hanseníase e com tuberculose. O objetivo da lei é preservar a identificação dos pacientes através da proteção de dados pessoais sensíveis.

A lei se aplica tanto a agentes públicos como privados, e abrange uma gama de setores, tais como estabelecimentos de saúde e de ensino, locais de trabalho, administração pública, segurança pública, mídia escrita e audiovisual.

Neste sentido, os serviços de saúde e as operadoras de assistência à saúde estão obrigados a proteger as informações relativas a pessoas que convivem com a infecção e as doenças crônicas supracitadas.  É necessário que os setores não permitam, para o público em geral, a identificação dos grupos protegidos pela legislação.

Destaca-se a alteração promovida no artigo 10 da Lei nº 6.259/1975, que trata das notificações compulsórias em casos de doenças e de agravos à saúde. O artigo passa a prever que o caráter sigiloso das notificações deve ser observado, não só pelas autoridades de vigilância sanitária, mas também por todos os profissionais que tenham procedido à notificação compulsória e por todos os demais profissionais que lidaram com os dados nela contidos.

O sigilo profissional sobre a condição dos pacientes poderá ser excepcionado; todavia, nos casos determinados por lei, por justa causa, por autorização expressa de pessoa acometida pelas doenças crônicas ou, quando se tratar de crianças, autorização de seu representante legal, mediante assinatura de termo de consentimento informado, nos termos do artigo 11 da Lei 13.709 de 2018 (Lei Geral de Proteção de Dados).

A identificação do paciente, fora do âmbito médico sanitário, só poderá ocorrer em caráter excepcional, em casos de grande risco à comunidade a juízo da autoridade sanitária e com autorização prévia do paciente ou seu responsável.

O descumprimento da lei caracteriza infrações sanitárias sujeitas às sanções previstas na Lei nº 6.437/1977, sem prejuízo de eventual responsabilização penal ou civil dos agentes que deram causa à quebra do sigilo.

 

Clique aqui para outros temas recentes.

A importância da utilização de medidas administrativas para atenuar o risco de incidentes de vazamento de dados pessoais

A recente lei brasileira que regula a proteção dos dados pessoais Lei nº 13.709/2018 – LGPD, foi criada, em síntese, com o objetivo de garantir aos titulares maior nível de proteção em relação aos seus dados pessoais, exigindo dos agentes que realizam o tratamento desses dados maior controle e comprometimento com a observância dos princípios que norteiam a lei e também maior transparência e segurança em relação aos dados pessoais disponibilizados.

Com a constante veiculação de incidentes de vazamentos de dados ou ataques cibernéticos, é possível constatar a existência de vulnerabilidades das empresas no que se refere ao tema, especialmente no Brasil, onde a preocupação com a proteção dos dados pessoais ainda está sendo difundida e absorvida na sociedade.

Mas afinal, quais são as consequências legais desses incidentes? Que medidas devem ser tomadas para evitar esse risco? Essas são algumas das principais perguntas que afligem as empresas, considerando as responsabilidades envolvidas.

Sem desvalorizar as providências que podem ser adotadas pelos próprios titulares para diminuir o risco desses vazamentos, é importante destacar que a responsabilidade por proteger os dados é daqueles que os recebem e realizam o tratamento, sejam entendidas públicas ou privadas.

Ainda que o tratamento dos dados pessoais seja realizado com enquadramento nas bases legais previstas, será considerado irregular se não proporcionar ao titular a segurança necessária, inclusive em razão da utilização de técnicas inadequadas ou insuficientes para conferir proteção em relação a vazamento de dados.

A LGPD prevê que em caso de infrações às normas poderão ser aplicadas pela autoridade Nacional de Proteção de Dados – ANPD, em face dos agentes de tratamento, sanções administrativas como a aplicação de multa correspondente a 2% do faturamento anual da empresa envolvida em vazamentos como este, limitada a R$ 50 milhões por infração; a publicização da infração; dentre outras penalidades.

Um ponto essencial a ser considerado para afastar as possíveis penalidades decorrentes da violação da LGPD, o que inclui a ausência de cuidados com a correção de possíveis vulnerabilidades, é sem dúvida a ação preventiva. Sobretudo porque a dosimetria da sanção, que ocorrerá de acordo com cada casa concreto, considerará os critérios indicados na própria lei, dentre os quais cabe destacar a gravidade da infração e a adoção reiterada de mecanismos e procedimentos internos capazes de minimizar o dano causado.

Será considerado irregular o tratamento de dados pessoais que deixar de observar a legislação ou que não fornecer ao titular a segurança que ele pode esperar, consideradas, dentre outras circunstâncias relevantes, “as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado” (Art. 44, III, da LGPD).

Apesar disso, a lei não atrela a segurança exclusivamente à adoção de medidas técnicas. Em linha com que estabelece o princípio da segurança, elencado na LGPD, os agentes de tratamento deverão utilizar-se de “medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão”.

Em resumo, para garantir a efetiva proteção dos dados pessoais não basta a utilização de medidas técnicas, sendo imprescindível também a adoção de medidas de ordem administrativa.

As medidas a serem adotadas não dizem respeito apenas à segurança de informação. Até mesmo porque nem todo vazamento decorre de violação do sistema de segurança, assim como nem todo tratamento incide sobre os dados pessoais on-line/digitais mas também off-line/físicos, sendo possível, portanto, a causa decorrente de culpa ou dolo dos próprios colaboradores.

Isso reflete a necessidade de aplicação das regras de compliance, visando alterar a cultura dos colaboradores, para fins de assegurar a observância das novas exigências legais. Isso corresponde ao incentivo ao desenvolvimento da cultura da privacidade e da proteção de dados pessoais.

A nova lei requer medidas preventivas para evitar a violação dos direitos fundamentais à privacidade e intimidade dos titulares dos dados pessoais.

Foi justamente com base nisso que direcionou uma seção para tratar de boas práticas e governança, por reconhecer como significativa a implementação do que ela intitulou ser o “programa de governança em privacidade”. Não se trata de uma imposição da lei, mas sim de uma possibilidade concedida aos agentes de tratamento e que só traz consequências positivas, em especial considerando-se que a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano decorrente da infração da lei será um item a ser considerado como atenuante no momento de eventual imposição de sanções administrativas.

Para tanto, as organizações públicas e privadas devem estabelecer procedimentos corporativos para que os seus colaboradores sigam as orientações apresentadas em seus códigos de conduta/boas práticas e políticas internas. Isso porque somente poderá ser exigido dos colaboradores o cumprimento das orientações que tenham sido repassadas de forma suficientemente completa e clara.

É indispensável garantir internamente a difusão das regras a serem seguidas, por meio da adoção de mecanismos de compliance e implementação de boas práticas no tratamento dos dados pessoais, de modo a garantir a fixação de controles internos e, via de consequência, a prevenção de condutas em desacordo com os comandos da legislação.

Convém ressaltar, ainda, que para assegurar a eficiência do programa de compliance, é necessária a sua contínua avaliação, com a análise dos riscos e realização de treinamentos visando a orientação sobre a relevância dos cuidados necessários ao tratamento dos dados pessoais.

Ao adotar tais providências, as empresas estarão certamente trilhando rumo a uma adequação efetiva às novas regras impostas pela LGPD e, em decorrência dessas ações, conseguirão também mitigar os riscos de vazamento e outros incidentes de segurança.

 

Autora: Jeniffer Mayumi Mori

Advogada sênior da área Societária e Empresarial do escritório Gaia Silva Gaede Advogados, em Curitiba, LL.M. em Direito Empresarial pela FIEP e membro da Comissão de Estudos sobre Compliance e Anticorrupção Empresarial da OAB/PR, Seccional de Curitiba.

 

O emprego de medidas para a mitigação de riscos de vazamento de dados pessoais

Com a recente notícia acerca do vazamento ocorrido em janeiro deste ano, apontado como o maior da história do Brasil e que envolveu mais de 223 milhões de números de CPF, nomes, datas de nascimento e gênero de cidadãos brasileiros, inclusive de pessoas já falecidas, o questionamento sobre o nível de segurança adotado pelas empresas para a proteção dos dados pessoais ganhou foco.

No caso em questão, muito embora o Serasa Experian tenha sido inicialmente apontado como sendo a possível fonte dos dados pessoais vazados, a empresa negou que o vazamento tenha ocorrido a partir de seu banco de dados.

Sem definições concretas sobre a origem do vazamento e com a declaração da Agência Nacional de Proteção de Dados (ANPD) de que está apurando tecnicamente as informações sobre o incidente, fato é que, em razão de vazamentos como esse, os dados pessoais estão disponíveis na rede. Trata-se de uma imensurável violação dos direitos fundamentais à privacidade e à intimidade, assegurados constitucionalmente.

A importância de se conhecer a fonte do vazamento não implica somente em responsabilização ou penalização dos responsáveis, mas principalmente na necessidade de correção de possíveis falhas, afinal, é um problema de segurança pública.

Essa situação acarreta um estado de alerta geral, na medida em que favorece o cometimento de golpes e fraudes, com potencial risco de lesão aos titulares dos dados vazados, como abertura de conta em banco e de linha de crédito com documentos falsos, entre outras práticas ilícitas. Logo, o dano já causado pelo vazamento pode ser ainda potencializado se efetivadas tais práticas.

Mas, afinal, quais são as consequências legais desses incidentes? Que medidas devem ser tomadas para evitar esse risco? Essas são algumas das principais perguntas que afligem as empresas, em especial os agentes de tratamento (controladores e operadores), considerando as responsabilidades envolvidas.

Com a edição da lei brasileira sobre proteção dos dados pessoais, a Lei nº 13.709/2018 (LGPD), que finalmente, após um período de incertezas, entrou em vigor no mês de setembro de 2020, podemos agora nos amparar em previsões legais para exigir e também cumprir com as regras de conduta que giram em torno dos dados pessoais.

A LGPD foi criada, em síntese, com o objetivo de garantir aos titulares maior nível de proteção em relação aos seus dados pessoais, exigindo dos agentes de tratamento maior controle e comprometimento com a observância dos princípios que norteiam a lei e também maior transparência e segurança em relação aos dados pessoais disponibilizados para tratamento.

Muito vem sendo discutido em relação às providências que devem ser adotadas pelos próprios titulares para evitar esses vazamentos. Contudo, ainda que os titulares possam e devam se utilizar de determinadas medidas para diminuir os riscos, é importante destacar que a responsabilidade por proteger os dados é daqueles que os recebem e realizam o tratamento, sejam entendidas públicas ou privadas.

Ainda que o tratamento dos dados pessoais seja realizado com enquadramento nas bases legais previstas, será considerado irregular se não proporcionar ao titular a segurança necessária, inclusive em razão da utilização de técnicas inadequadas ou insuficientes para conferir proteção em relação a vazamento de dados.

O ano de 2020 foi imprescindível para a consolidação da revolução digital, diante da necessidade de adaptação das estruturas corporativas em razão da pandemia da Covid-19, e também marcado negativamente pelo grande número de ataques digitais, até mesmo contra o Superior Tribunal de Justiça.

O cenário atual vivenciado no Brasil por conta desse desenvolvimento digital certamente levantou muitas discussões e incertezas sobre a intepretação da nova lei. Assim, muito se espera da atuação da ANPD, principalmente por conta da atribuição de realizar essa interpretação e regular os casos omissos, antes mesmo de passar a aplicar as sanções para os casos de violação.

De acordo com a definição da LGPD, a ANPD é o órgão da administração pública federal, integrante da Presidência da República, responsável não só por zelar pela proteção dos dados, mas também por implementar e fiscalizar o cumprimento da lei e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação.

A LGPD prevê que em caso de infrações às normas poderão ser aplicadas pela ANPD, em face dos agentes de tratamento, sanções administrativas como a aplicação de multa correspondente a 2% do faturamento anual da empresa envolvida em vazamentos como este, limitada a R$ 50 milhões por infração, a publicização da infração, entre outras penalidades previstas em seu artigo 52.

Como se sabe, as penalidades previstas na LGPD somente poderão ser aplicadas a partir de 1º de agosto deste ano, conforme estabeleceu a Lei nº 14.010/2020.

Vale destacar, entretanto, que as sanções previstas são administrativas e não obstam a aplicação de sanções civis ou penais, ou mesmo de outras sanções administrativas, uma vez que a existência e atuação da ANPD não prejudica ou interfere na competência de órgãos como o Procon e o Ministério Público. Assim, nada impede que venha a ser arbitrado, por exemplo, valor de indenização por danos causados a terceiros, inclusive maior que a multa aplicada pela ANPD.

Em recente aparição, o presidente da ANPD declarou que inicialmente o foco de atuação do órgão será a educação e não a aplicação das sanções administrativas, que seriam pouco eficientes, eis que as multas acabariam sendo repassadas pelas empresas aos seus clientes.

Um ponto essencial a ser considerado para afastar as possíveis penalidades decorrentes da violação da LGPD, o que inclui a despreocupação com a correção de possíveis vulnerabilidades, é a ação preventiva. Sobretudo porque a dosimetria da sanção, que ocorrerá de acordo com cada casa concreto, considerará os critérios indicados no §1º do artigo 52, entre os quais cabe destacar a gravidade da infração e a adoção reiterada de mecanismos e procedimentos internos capazes de minimizar o dano causado.

Em consonância com o artigo 44 da LGPD será considerado irregular o tratamento de dados pessoais que deixar de observar a legislação ou que não fornecer ao titular a segurança que ele pode esperar, consideradas, dentre outras circunstâncias relevantes, “as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado”.

Como indicado, a LGPD dispõe que as técnicas de tratamento seriam aquelas disponíveis à época. Trata-se de um detalhe significante o legislador utilizar na redação da lei as palavras “disponíveis” ao invés de “existentes”, visto que são completamente distintas. O fato de existir, por exemplo, um sistema de segurança extremamente eficiente em outro país e ainda não comercializado para outros países, não o torna disponível aos controladores brasileiros. E ainda que “o sistema passe a ser comercializado no Brasil, mas pelo valor de 50 milhões de dólares a licença. Isso faz com que o sistema esteja ‘disponível’ para os controladores brasileiros? Entendemos que não. A palavra ‘disponíveis’ precisa levar em consideração a possibilidade ou não de o controlador ter acesso a determinado sistema, não o simples fato de ele existir ou ser comercializado fora dos padrões econômicos do controlador sob análise” [1].

Não obstante, a lei não atrela a segurança exclusivamente à adoção de medidas técnicas. Em linha com que estabelece o princípio da segurança, elencado na LGPD, os agentes de tratamento deverão utilizar-se de “medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão”.

Em resumo, para garantir a efetiva proteção dos dados pessoais não basta a utilização de medidas técnicas, sendo imprescindível também a adoção de medidas de ordem administrativa.

Um exemplo bem claro e que retrata essa necessidade é o de uma empresa hipotética que adota medidas técnicas adequadas a cumprir satisfatoriamente com os objetivos de confidencialidade, integridade e disponibilidade. Suponha-se que cada empregado dessa empresa tenha sua própria credencial que, a depender do cargo hierárquico, possibilite diferentes graus de autorização de acesso. Todavia, por mera comodidade no dia a dia, os empregados optam por compartilhar as credenciais entre sim, enganando o sistema de segurança da empresa. Por meio desse exemplo é possível demonstrar que ainda que exista um sistema de segurança, se este não for operado com regras que técnicas e administrativa que possibilitem regularizar o tratamento de dados, a iniciativa acaba frustrada [2].

As medidas a serem adotadas não dizem respeito apenas à segurança de informação. Até mesmo porque nem todo vazamento decorre de violação do sistema de segurança, assim como nem todo tratamento incide sobre os dados pessoais online/digitais mas também offline/físicos, sendo possível, portanto, a causa decorrente de culpa ou dolo dos próprios colaboradores.

Convém destacar que “quanto às medidas administrativas, os dispositivos trazidos pela lei demandarão um esforço coletivo de todos os atores envolvidos e implicarão a criação de novas rotinas de trabalho, de procedimentos de segurança de informação e aumento dos mecanismos de transparência e governança. A cultura de proteção aos dados pessoais precisará ser cada vez mais difundida, em especial entre aqueles que prestem serviços para agentes de tratamento” [3].

Isso reflete a necessidade de aplicação das regras de compliance, visando a alterar a cultura dos colaboradores, para fins de assegurar a observância das novas regras legalmente exigidas. Isso corresponde ao incentivo ao desenvolvimento da cultura da privacidade e da proteção de dados pessoais.

A nova lei requer medidas preventivas para evitar a violação dos direitos fundamentais à privacidade e intimidade dos titulares dos dados pessoais. Afinal, “quando a lei afirma que considerações sobre dados pessoais e sua proteção devem existir desde a concepção de produtos e serviços, ela dá um sinal para que empresas e governos não releguem as preocupações sobre proteção de dados apenas para depois de ocorridos episódios de sua violação” [4].

Foi justamente com essa pretensão que a LGPD direcionou uma seção para tratar de boas práticas e governança, por reconhecer como significativa a implementação do que ela intitulou ser o “programa de governança em privacidade”. Não se trata de uma imposição da lei, mas, sim, de uma possibilidade imputada aos agentes de tratamento e que só traz consequências positivas, em especial considerando-se que a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano decorrente da infração da lei será um item a ser considerado como atenuante no momento de eventual imposição de sanções administrativas (artigo 52, §1º, VIII).

Para tanto, é inafastável a necessidade de as organizações públicas e privadas estabelecerem procedimentos corporativos para que os seus colaboradores sigam as orientações apresentadas em seus códigos de conduta/boas práticas e políticas internas. Isso porque somente poderá ser exigido dos colaboradores o cumprimento das orientações que tenham sido repassadas de forma suficientemente completa e clara.

É indispensável garantir internamente a difusão das regras a serem seguidas, por meio da adoção de mecanismos de compliance e implementação de boas práticas no tratamento dos dados pessoais, de modo a garantir a fixação de controles internos e, via de consequência, a prevenção de condutas em desacordo com os comandos da legislação.

Ainda no que diz respeito à importância do programa de compliance para a satisfatória adequação à LGPD, especialmente em caráter preventivo, pertinente ressaltar que, para assegurar a efetividade do programa de compliance, é necessária a sua contínua avaliação, com a análise dos riscos e realização de treinamentos visando a orientação sobre a relevância dos cuidados necessários ao tratamento dos dados pessoais. A instituição deve “investir em um programa de capacitação constante, de forma a manter todos atualizados quanto a alterações feitas em procedimentos e políticas, como para reforçar as premissas da LGPD, minimizando o risco de falhas por desconhecimento ou não compreensão do tema” [5].

Ainda é desconhecido como será acompanhado o processo de adequação das organizações às novas regras impostas.

Apesar de ter sido finalmente constituída, a ANPD ainda não publicou nenhuma das regulamentações previstas em lei. Essas regulamentações, bem como as orientações em relação aos pontos duvidosos e obscuros da lei, serão cruciais para estabelecer a segurança jurídica, tanto para os titulares dos dados pessoais quanto para as organizações. Essa segurança, por sua vez, será vital para garantir os investimentos e a geração de negócios no Brasil.

No final do mês de janeiro, a ANPD apresentou a agenda regulatória para o biênio 2021-2022, que basicamente corresponde a um cronograma com as ações planejadas, com a definição das prioridades em três fases que reúnem dez temas, incluindo regulamento próprio sobre as sanções administrativas e metodologias que orientarão o cálculo do valor-base das sanções de multa. Os itens dessa agenda regulatória serão considerados na elaboração das diretrizes da Política Nacional de Proteção de Dados Pessoais e da Privacidade pela ANPD.

A expectativa é de que finalmente estejamos trilhando rumo à obtenção de maior amparo e informações. Ainda assim, as organizações brasileiras devem, desde já, executar mecanismos de adequação, conforme aqui apontado, e não ficar estagnadas aguardando o integral e perfeito funcionamento da ANPD para somente então começarem a corre atrás da adequação.

 


 

[1] COTS, Márcio e OLIVEIRA, Ricardo. Lei Geral de Proteção de Dados Pessoais Comentada. 2. ed. São Paulo: RT, 2019, p. 181.

[2] COTS, Márcio; OLIVEIRA, Ricardo. Op. cit, p. 186.

[3] TEPEDINO, Gustavo; FRAZÃO, Ana; OLIVA, Milena Donato (Coord.). Lei Geral de Proteção de Dados Pessoais e suas repercussões no direito brasileiro. São Paulo: RT, 2019, p. 435.

[4] Op. cit., p. 440.

[5] XAVIER, Fábio Correa. Ações para adequação à LGPD pela administração pública. In: Comentários à Lei Geral de Proteção de Dados Pessoais – LGPD [livro eletrônico]. Ribeirão Preto/SP: Migalhas, 2021, p. 14-15.

 

 

*Artigo originalmente postado no Conjur.

A entrada em vigor da LGPD e a Autoridade Nacional de Proteção de Dados

Apesar de ter sido aprovada pela Câmara dos Deputados no dia 25 de agosto deste ano, a Medida Provisória nº 959/2020 foi votada no Senado Federal no dia seguinte sem apreciação do seu artigo 4º, que tratava da postergação do início de vigência da lei. Em sessão deliberativa remota do Senado Federal, o Projeto de Lei de Conversão – PLC 34/2020, originado da Medida Provisória 959/2020, teve seu artigo 4º retirado de votação na sessão plenária sob a justificativa de que o tema já havia sido objeto de deliberação pelos senadores quando foi aprovado o Projeto de Lei 1.179/2020, convertido na Lei nº 14.010/2020, que manteve a previsão de início da vigência para o mês de agosto desse ano.

Assim, uma vez que a matéria já havia sido superada pelo Congresso Nacional naquela oportunidade, a Presidência do Senado Federal decidiu pela prejudicialidade do referido artigo, não podendo prosperar a possibilidade da alteração da entrada em vigor da LGPD. O PLC 34/2020 seguiu então para apreciação do Presidente da República, tendo sido sancionado na data de ontem, 17 de setembro, de modo que com a sua publicação do Diário Oficial, a LGPD entra em vigor nessa sexta-feira, 18 de setembro de 2020.

É importante destacar que muito embora a Autoridade Nacional de Proteção de Dados – ANPD já tenha tido sua estrutura aprovada, não há até o momento nomeação de todos os seus representantes, o que significa que, na prática, a ANPD ainda não está atuante. Desnecessário informar que sua ausência vem causando grande insegurança no que se refere à adequação das empresas e órgãos públicos às novas exigências legais. Isso porque na prática há, de forma geral, dúvidas sobre a interpretação a aplicação da Lei.

De acordo com a própria redação da LGPD, a ANPD foi definida como sendo o órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da Lei em todo o território nacional. Assim, trata-se de peça fundamental para o funcionamento e aplicação adequados da LGPD.

A ausência desse órgão, poderia gerar, além de inúmeros transtornos relacionados à efetividade e aplicação da proteção de dados pessoais, um abalo ao comprometimento e da seriedade que o Brasil deseja ver reconhecidos internacionalmente ao editar uma lei específica sobre essa matéria.

No entanto, independentemente da formalização da ANPD, as regras estabelecidas pela LGPD já estão em vigor, acarretando, consequentemente,  na necessidade das empresas se adequarem.

 

Clique aqui para outros temas recentes.

Informação mais segura

Baseada na regra europeia, a Lei Geral de Proteção de Dados entra em vigor em setembro. Ela eleva a proteção às informações, mas sua efetividade, no início, é questionada

Provavelmente você já recebeu algum aviso em seu celular ou computador de um aplicativo ou site dizendo que atualizou sua política de dados e cookies, e que você precisa aceitar antes de continuar. Por trás desses alertas está uma grande mudança no tratamento das informações de cada usuário da internet. O Brasil começa agora uma contagem regressiva para a implantação da Lei Geral de Proteção de Dados Pessoais (LGPD). Na última semana de agosto, o Congresso ratificou a lei que deve entrar em vigor após a sanção do presidente Jair Bolsonaro, até o dia 17 de setembro, que é dada como certa.

A nova regra, que começou a ser desenhada desde 2018, promete ser um divisor de águas na questão de proteção de informações sensíveis dos internautas. O objetivo é garantir maior transparência com o que é feito dos dados e, principalmente, dar maior controle ao usuário para indicar se a empresa pode ou não utilizá-los. Um ganho significativo em tempos de pandemia, quando cerca de 4 milhões de pessoas entraram no comércio eletrônico.

Garantir direitos aos donos das informações impõe obrigações a quem recebe e opera os dados, sob pena de processos e multa. Por isso, as empresas correm para se adequar às novas regras. “Mas nem 30% das companhias estão preparadas. Especialmente as menores, que entraram na internet por causa da pandemia”, argumenta Renato Opice Blum, advogado e coordenador do curso de Direito Digital da FAAP. Segundo o especialista, agora não há mais como adiar, porque a LGPD prevê punições, não só legais, mas também sanções de outros órgãos de defesa do consumidor, como o Procon, e do mercado financeiro, como a Comissão de Valores Mobiliários (CVM).

Dúvidas

Especialistas apontam que a efetividade será baixa no início, já que a lei só vai multar a partir de 2021, quando acabar a fase de adaptação. Além disso, será preciso escolher os membros da Autoridade Nacional de Proteção de Dados (ANPD), órgão ligado ao governo federal responsável pela fiscalização. Mas é um equívoco achar que ela se tornará uma daquelas leis que não “pegam”. Para vários especialistas, ela já pegou, porque as empresas correm o risco de sanções e a população está mais atenta diante de tantas fraudes e vazamentos. A lei segue o rigor da General Data Protection Regulation (GDPR), da União Européia, na qual é baseada. “Os dados hoje são tidos como o novo petróleo e ganham relevância”, diz Vanessa Santiago, do Gaia Silva Gaede Advogados. Basta agora o internauta ficar atento aos rastros que deixa no mundo virtual.

 

POR ANNA FRANÇA

FONTE: ISTOÉ – 04/09/20 às 09h30

O impacto da Lei Geral de Proteção de Dados nas relações de consumo

A Lei Geral de Proteção de Dados (LGPD) é norteada por princípios (artigo 6º) que coincidem com aqueles aplicáveis às relações de consumo, tais como transparência, livre acesso, prevenção e responsabilização, e a defesa do consumidor é mencionada expressamente (artigo 2º, VI) como um dos fundamentos que regem essa lei. E, considerando que grande parte dos dados a serem tratados pelas empresas decorrem da relação de consumo, é importante entender, sob o ponto de vista dessa lei especial, como se dará a responsabilização daqueles envolvidos no tratamento dos dados e assim tomar as devidas cautelas com o objetivo de evitar um aumento desse tipo de contingência.

Inicialmente, para melhor compreensão do tema, cabe esclarecer os personagens envolvidos no tratamento de dados de acordo com a nomenclatura definida pela própria LGPD: os agentes de tratamento são o controlador e o operador, sendo que este é quem efetivamente realiza o tratamento e processamento dos dados e o controlador é o responsável pela sua coleta. O titular é a pessoa natural cujos dados serão tratados.

O artigo 42 da LGPD estabelece que o controlador ou operador que causar dano material ou moral, individual ou coletivo, decorrente da violação das suas normas, será obrigado a repará-lo. Assim, a regra geral é a responsabilização individual de cada agente, na medida e proporção em que os atos praticados em contrariedade à lei tenham nexo com o dano efetivamente causado ao titular.

Mas o legislador também estabeleceu duas hipóteses para a responsabilização solidária dos agentes pelos danos causados ao titular: I) responsabilidade solidária do operador quando ele não tiver seguido as instruções lícitas do controlador; e II) solidariedade entre os controladores que estiverem diretamente envolvidos no tratamento. A implicação da solidariedade é que qualquer um desses agentes, isolada ou conjuntamente, poderá ser acionado para reparar o dano.

Além disso, muito embora todo ato praticado em desacordo com a LGDP seja considerado como irregular e seja passível de indenização, a segurança dos dados é tratada pela norma com destaque (artigo 44). Portanto, é essencial a adoção de medidas de segurança tais como implementação de parâmetros técnicos e administrativos aptos a proteger acessos não autorizados e situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

A exclusão da responsabilidade indenizatória dos agentes de tratamento só ocorrerá se provarem (ônus da prova integralmente destes) que: I) não realizaram o tratamento de dados que lhes é atribuído; II) embora tenham realizado o tratamento, não houve violação à LGPD; ou III) que o dano decorre de culpa exclusiva do titular ou de terceiros.

A LGPD estabeleceu regras específicas e o mais completas possível para balizar a responsabilização. Todavia, ao prever (no artigo 45) que a violação do direito do titular dos dados decorrente de uma relação de consumo estará sujeita às regras do CDC, os conceitos e hipóteses mencionados acima não mais prevalecerão e o titular consumidor será visto pelo Poder Judiciário necessariamente como parte hipossuficiente, o que lhe traz algumas vantagens.

E, ao se aplicar regras previstas no CDC, a reparação civil torna-se objetiva: exclui-se a necessidade de comprovação de culpa pelo fornecedor, bastando a simples comprovação do dano e nexo decorrentes da falha na prestação dos serviços/produto. A inversão do ônus da prova e solidariedade entre os fornecedores são também regras de aplicação automática nessa esfera.

Considerando que as figuras do controlador e do operador poderão ou não estar concentradas em uma mesma pessoa, e diante da complexidade estrutural e técnica necessárias à efetiva e segura proteção dos dados, é muito provável que as empresas não tenham condições técnicas ou financeiras de realizar internamente esse tratamento de dados. Portanto, vislumbra-se um cenário no qual a contratação de um operador será recorrente, assim como a responsabilidade solidária entre eles por eventuais danos.

Portanto, essa contratação deverá ser muito bem estruturada para garantir ao controlador auditar os trabalhos realizados pelo operador e que o operador tenha a exata e clara compreensão das instruções repassadas pelo controlador, não presumindo que o trabalho realizado esteja de acordo com a LGPD.

Tendo em vista que cabe ao controlador estabelecer quais são os dados mínimos e adequados à sua atividade, bem como suas especificidades de tratamento, ele não poderá contratar um operador de forma automática, sem lhe repassar de forma detalhada tais informações, sem ter o mínimo de compreensão sobre as técnicas que serão aplicadas e sem assegurar-se de que essas serão aptas a garantir a eficácia e segurança estabelecidas pela lei.

Caberá então ao controlador definir em contrato de forma clara e detalhada os deveres de cada uma das partes, garantindo que o operador demonstre a adequação e a segurança das técnicas que serão aplicadas, bem como o seu direito de, no curso da relação, ter acesso e/ou auditar o operador e solicitar adequações e atualizações das suas práticas.

A possibilidade de atualização dos procedimentos para o tratamento de dados deve estar prevista, uma vez que, as técnicas disponíveis à época em que o dado foi tratado serão levadas em consideração para fins de averiguar a regularidade ou não do tratamento.

Muito embora a LGPD já preveja (artigo 42, §4º) o direito de regresso entre os agentes, a delimitação dessa responsabilidade poderá ser de difícil comprovação. Portanto, o ideal é estabelecer no contrato exemplos concretos de eventuais falhas e definição do responsável. Alternativamente, quando não for possível individualizar dessa forma, recomenda-se estabelecer o percentual para responsabilização de cada um, evitando que apenas um arque com o prejuízo ou que fique à mercê do julgador estabelecer a extensão dessa responsabilidade.

Além dos benefícios que as práticas acima destacadas podem trazer à relação a ser pactuada entre os agentes e respectivas obrigações, também poderá ser útil para comprovar que todas as cautelas necessárias para cumprimento das normas da LGPD foram tomadas.

Portanto, a mitigação dos danos ocorrerá se houver sinergia entre o controlador e o operador para garantir o correto e seguro tratamento dos dados, uma vez que a chance de responsabilização solidária entre os agentes é muito grande nas relações gerais e certa nas de consumo.

 

*Artigo originalmente postado no Conjur.

Regime Jurídico Emergencial e Transitório das Relações Jurídicas de Direito Privado (RJET) – Lei 14.010 de 2020

Em 12 de junho de 2020, foi publicada no Diário Oficial a Lei nº 14.010/2020, que cria medidas para atenuar as consequências socioeconômicas da covid-19, de modo a preservar as relações jurídicas e proteger os segmentos mais afetados pela pandemia.

As principais alterações são as seguintes:

Direito Processual Civil

A suspensão dos prazos prescricionais e decadenciais, conforme o caso, a partir da entrada em vigor da Lei até 30 de outubro de 2020.

Direito Empresarial

  • Assembleias e Reuniões Empresariais:

A Lei autorizou que a Assembleia Geral para destituir os administradores ou alterar estatutos possam ser realizadas por meio eletrônico, até o dia 30 de outubro de 2020.

Direito Civil

  • Direito do Consumidor:

A Lei determina a suspensão, até 30 de outubro de 2020, da aplicação do direito de arrependimento do consumidor por aquisição do serviço ou produto em entrega domiciliar (delivery).

A disposição vale apenas para as compras de produtos perecíveis ou de consumo imediato e medicamentos.

  • Usucapião:

A Lei suspende os prazos de aquisição para a propriedade imobiliária ou mobiliária, nas diversas espécies de usucapião, a partir da entrada em vigor da Lei até 30 de outubro de 2020.

  • Condomínios:

Até 30 de outubro, a assembleia condominial poderá ocorrer por meio virtual, inclusive para a aprovação das contas, possível destituição do síndico e sua eleição. Caso a nova eleição não seja possível, o mandato vencido de síndico a partir de 20 de março será prorrogado até 30 de outubro de 2020. 

Direito de Família

  • Inventário:

A Lei conferiu uma suspensão do prazo de 12 (doze) meses para o ajuizamento de inventário a partir da vigência da lei até 30 de outubro de 2020.

  • Pensão Alimentícia:

A Lei determinou que, até 30 de outubro de 2020, a prisão por atraso de pensão alimentícia deverá ser domiciliar.

Atualmente, as dívidas alimentícias levam à prisão temporária em regime fechado até sua quitação ou relaxamento da prisão pelo juiz.

Proteção de dados

O Projeto de Lei, agora já convertido, alterou a Lei Geral de Proteção de Dados (LGPD), para que o início da aplicação das sanções previstas nos artigos 52 a 54 da LGPD seja postergada para 1º de agosto de 2021, bem como que a vigência dos demais dispositivos ocorra de forma imediata.

Todavia, a Medida Provisória 959/20 adia a vigência de todos os artigos da Lei para 03 de maio de 2021. Assim, como a MP tem força de Lei, enquanto a MP 959/20 vigorar o início da vigência da LGPD permanece sendo em maio de 2021.

Para melhor ilustrar as informações expostas acima, segue quadro informativo com o cenário atual e os possíveis cenários futuros:

 

Vetos:

O Presidente da República vetou alguns dispositivos do PL 1.179/2020. Os vetos estão aguardando a apreciação no Congresso Nacional para serem mantidos ou derrubados após decisão conjunta da Câmara de Deputados e do Senado Federal.

 

Clique aqui para outros temas recentes.