Lei Geral de Proteção de Dados: Contexto, Aplicação e Relevância

A Lei Geral de Proteção de Dados (Lei Federal nº 13.709/2018), mais conhecida como “LGPD”, foi promulgada no dia 14/08/2018 e entrou em vigor em todo o território nacional em setembro de 2020. Sua principal finalidade é assegurar os direitos fundamentais dos cidadãos relacionados ao uso e compartilhamento dos seus dados, tornando o tratamento dos dados mais transparente e seguro.

Muito embora a preocupação com a utilização e tratamento dos dados de pessoas físicas já fosse latente nas últimas décadas, o tema ganhou ainda mais relevância após escândalos internacionais relacionados à utilização indevida de dados de usuários pelo mundo. Como exemplos, em 2014, vieram à tona as denúncias de espionagem reportadas pelo ex-técnico da National Security Agency, Edward Snowden, que revelou em detalhes alguns dos programas de vigilância dos Estados Unidos para espionar a população norte-americana e diversos outros países, incluindo o Brasil, por meio de servidores de empresas como Google, Apple e Facebook. Posteriormente, em 2018, revelou-se também o uso indevido de dados pessoais de usuários da rede social Facebook pela empresa Cambridge Analytica, para influenciar nas campanhas presidencial americana e no “Brexit” no Reino Unido. Tais casos, ambos destaques midiáticos globais, serviram como alerta para a sociedade sobre a necessidade de se estabelecer limites e regulamentar atividades que envolvam o tratamento de dados pessoais.

Assim, diante da pressão da sociedade civil, somada à aplicação extraterritorial do Regulamento Geral sobre a Proteção de Dados da União Europeia (“GDPR”) e à intenção do Brasil em ingressar na Organização para a Cooperação e Desenvolvimento Econômico (“OCDE”), acelerou-se o trâmite dos projetos de lei da época. O PL nº 4060/2012 da Câmara dos Deputados e o PLS 330/2013 do Senado Federal foram aglutinados ao Anteprojeto de Lei da então presidente Dilma Rousseff que, posteriormente, originariam a atual LGPD.

Erroneamente, as empresas tendem a acreditar que os dados pessoais a serem protegidos se referem apenas àqueles armazenados em nuvem ou arquivos digitais. A LGPD, contudo, não faz qualquer restrição ao local onde os dados estão armazenados, muito ao contrário. O artigo 1º deixa explícito que a LGPD “dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural”.

Resumidamente, havendo qualquer tipo de tratamento de dados pessoais pela empresa (coleta, compartilhamento, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração) a atividade de tratamento deverá estar em total conformidade com a lei, evitando eventuais sanções legais pela Autoridade Nacional de Proteção de Dados (“ANPD”) pela violação à LGPD, que poderá aplicá-las a partir de agosto de 2021.

Desta forma, todos os dados pessoais, cujos titulares são todas as pessoas naturais nos termos da LGPD, deverão ser objeto de cuidado por parte das empresas, com atenção, portanto, não apenas aos clientes e fornecedores, mas também aos dados de seus próprios funcionários e em toda a cadeia de contratação desde o processo seletivo até a efetiva rescisão do contrato de trabalho.

Nesse sentido, a LGPD prevê uma série de direitos aos titulares de dados que devem ser garantidos pela empresa ao realizar o tratamento: (i) Finalidade – o tratamento deve ser realizado para propósitos legítimos, específicos, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades; (ii) Adequação – o tratamento deve ser compatível com as finalidades informadas ao titular; (iii) Necessidade – o tratamento deve ser limitado ao mínimo necessário para a atingimento de suas finalidades.

Além dos direitos dos titulares de dados acima expostos, um dos preceitos fundamentais da nova lei é a necessidade de obtenção de consentimento para que seja possível o seu tratamento. O consentimento do usuário deverá ser obtido por escrito ou por outro meio que demonstre, inequivocamente, a manifestação de sua vontade.

O escopo do tratamento deverá ser claro e inequívoco, de forma que a finalidade do tratamento dos dados fique clara a quem o consente, com a ressalva de que poderá ser revogado a qualquer momento, à critério de quem autorizou.

Entretanto, vale mencionar que a LGPD permite a dispensa do consentimento para tratamento e compartilhamento de dados, à título de exceção, no caso de cumprimento de obrigação legal ou regulatória, por exemplo, dentre outras bases legais.

Voltando agora a atenção aos dados compartilhados com a administração pública, a LGPD traz regra expressa ao vedar o compartilhamento dos dados em posse da Administração Pública com entidades privadas. Entretanto, faz exceção aos casos em que a transferência se faça necessária com o fim específico e determinado de execução descentralizada da atividade pública.

A descentralização administrativa do Estado ocorre quando há distribuição de competências de uma para outra pessoa, que é o que ocorre nos casos em que o Estado atribui para uma empresa pública, uma autarquia, uma sociedade de economia mista, uma fundação pública, ou um consórcio público a execução de um serviço público ou ainda como ocorre no caso das concessões, autorizações e permissões, onde um ente privado executa um serviço público em nome do Estado.

Assim, se o compartilhamento dos dados tiver como objetivo a consecução de políticas públicas, como exemplo, o compartilhamento de dados dos usuários de transporte público para otimização das linhas urbanas, é permitido que o compartilhamento seja realizado ainda que não haja consentimento expresso do usuário.

Para que tudo isso seja possível, as empresas precisarão adotar medidas de segurança técnicas (novas tecnologias) e administrativas (reestruturação de contratos e procedimentos internos), que serão reguladas pormenorizadamente pela ANPD.

O cumprimento dos regramentos da agência poderá ser considerado fator atenuante em eventual sanção decorrente da exposição de dados de usuários, o que ressalta a relevância da adequação da empresa aos procedimentos trazidos pela Lei.

Além da adoção dessas políticas de boas práticas, é indispensável a nomeação por parte das empresas da figura do Encarregado (Data Protection Officer – “DPO”) que será o responsável por atuar como canal de comunicação entre a empresa, os titulares dos dados e a ANPD.

Sobre as sanções aplicáveis, a LGPD trouxe severas multas para aqueles que não seguirem com seus preceitos e normas. As penalidades podem corresponder a 2% do faturamento da empresa, grupo ou conglomerado, limitado a cinquenta milhões de reais por infração cometida.

Para fiscalizar e multar as empresas que eventualmente infringirem a lei, a LGPD trouxe em seu texto legal a criação da Agência Nacional de Proteção de Dados (“ANPD”). Trata-se de órgão federal que vai editar normas e fiscalizar procedimentos sobre proteção de dados pessoais. Por questão de matéria constitucional, a efetiva criação da agência teve origem na Medida Provisória 869/2018 e foi sancionada pelo presidente Jair Bolsonaro.

A intenção por trás da LGPD e da criação de um órgão que fiscalizará sua aplicação é de tornar o tratamento de dados mais transparente e seguro aos titulares, uma vez que as empresas cada vez mais têm utilizado a comercialização de dados pessoais como uma importante forma de receita acessória.

Assim, diante de todo este contexto, e em decorrência da expertise do escritório Cordeiro, Lima e Advogados no ramo de mobilidade urbana, a União Internacional de Transportes Públicos, Divisão América Latina (“UITP”), em São Paulo, escolheu esta banca de advogados para compartilhar as melhores práticas internacionais no âmbito da UITP, considerando o cenário local no que se refere a Lei Geral de Proteção de Dados do Brasil.

O Grupo de Estudos e Apoio para Proteção de Dados na Mobilidade (“GEAPRODAM”) trabalhará em três frentes: análise da legislação nacional e internacional de proteção de dados na Europa e América Latina, os reflexos dessa legislação no setor de mobilidade e elaboração de proposta de manual de boas práticas.

Esta lei possui extrema relevância para as empresas operadoras de transporte de passageiros já que traz diversas implicações nas relações privadas (colaboradores e fornecedores) assim como nas relações públicas (entes públicos contratante/reguladores/fiscalizadores).

Em resumo, adequar-se à LGPD demandará profundas mudanças estruturais em quase todas as áreas da empresa, do departamento de TI ao Marketing, sempre com o devido respaldo do Departamento Jurídico para garantir que a empresa esteja em compliance com as novas regras insculpidas no texto da LGPD.

><

Caio Figueiroa, coordenador da área de Infraestrutura e Novos Negócios do Cordeiro, Lima e Advogados, mestrando em Direito Público e Especialista em Direito Administrativo pela Escola de Direito de São Paulo da Fundação Getúlio Vargas (EDSP-FGV).

João Gabriel G. Pereira, Sócio do escritório Cordeiro, Lima e Advogados, cursando no MBA de PPP e Concessões pela Fundação Escola de Sociologia e Política de São Paulo – FESPSP;

Lucas Romeu, coordenador da área cível do Cordeiro, Lima e Advogados, especialista em Direito do Consumidor (FMU), Compliance e Governança Corporativa (INSPER);