Os dados pessoais se tornaram, na atualidade, tão importantes e valiosos que alguns passaram a denominá-los o “novo petróleo”, circunstância que coloca a sua proteção em um lugar de destaque.
Com efeito, o extraordinário avanço da rede mundial de computadores exigiu esforço legislativo correspondente para compatibilizar a livre circulação de dados e a sua proteção, destacando-se, neste âmbito, o marco civil da internet e mais recentemente a Lei Federal n. 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados), inspirada no Regulamento Geral Europeu de Proteção de Dados Pessoais - RGDP.
O fato de a Lei Geral de Proteção de Dados iniciar sua vigência a partir de agosto de 2020¹, quando então os responsáveis pelos dados deverão estar devidamente adaptados às normas, conduz o presente estudo, visando fornecer algumas informações relevantes para a adequação das Startups ao Direito, tornando-as ainda mais eficiente.
A Proteção dos Dados Pessoais no Direito Brasileiro
A – LGPD: o que é?
A Lei 13.709, conhecida como Lei Geral de Proteção de Dados Pessoais (LGPD), foi sancionada em agosto de 2018 e deveria entrar em vigor em agosto de 2020, contudo em face da pandemia do COVID-19, que assolou o mundo, um projeto de lei foi aprovado pelo Senado Federal e será pautado a qualquer momento na Câmara de Deputados, postergando a vigência para 2021.
Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural e, via de consequência, garantir a proteção da confiança nas relações econômicas.
B - Conceitos Legais Essenciais
A legislação adota alguns conceitos essenciais, que são pressupostos para a sua aplicação, dentre os quais a determinação de quem é o titular dos direitos de proteção, privacidade e personalidade: somente a pessoa natural identificada ou identificável.
Entre os dados pessoais destaca-se o que se chama de dados sensíveis, especificamente quando versarem sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, sempre vinculados a uma pessoa natural.
Outro conceito essencial é o de tratamento de dados, caracterizado como a operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Os agentes de tratamento de dados são o Controlador e o Operador. O Controlador é a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais, enquanto o Operador é a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
Há, ainda, uma terceira figura na relação dos agentes de tratamento que é o Encarregado, definido como a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
De acordo com a Lei Geral de Proteção de Dados, a partir da sua vigência, estes agentes, pessoa natural ou pessoa jurídica de direito público ou privado, que incluir em sua base informações de seus usuários, pacientes, clientes, associados etc, por mais básicas que sejam – como nome, CPF, RG e e-mail – devem seguir os procedimentos da nova lei. Caso contrário, em razão de ofensas às normas previstas nesta Lei, ficam sujeitos às sanções administrativas aplicáveis pela autoridade nacional.
C – Sanções Administrativas
As sanções administrativas previstas na legislação, depois de oportunizada a ampla defesa, são advertência, multa simples ou diária limitada ao total de R$ 50.000.000,00 (cinquenta milhões de reais) por infração; publicização da infração, bloqueio e eliminação dos dados pessoais.
D - Responsabilidade e ressarcimento de danos
O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.
Os agentes de tratamento só não serão responsabilizados quando provarem, que não realizaram o tratamento de dados pessoais que lhes é atribuído ou que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou, ainda, que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.
O tratamento de dados pessoais será irregular quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes, dentre as quais o modo pelo qual é realizado; o resultado e os riscos que razoavelmente dele se esperam e as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado.
Ainda, em relação à responsabilização, a legislação exige que os agentes demonstrem a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
Apresentados os elementos essenciais para compreensão do quadro legal de proteção de dados, passa-se a questionar de que forma as Startups são afetadas, tendo em vista a necessidade de adequação às novas exigências normativas.
A Proteção dos Dados Pessoais e as Startups
De acordo com legislação, o usuário possui o direito de obter da Startup (controladora dos dados), a qualquer momento e mediante requisição, a confirmação da existência de tratamento; acesso aos dados; correção de dados incompletos, inexatos ou desatualizados, eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16; revogação do consentimento, nos termos do § 5º do art. 8º e demais direitos previstos na LGPD.
Neste contexto, sobressai a necessidade de um consentimento válido do titular dos dados, que inclua a) sua livre vontade manifestada expressamente; b) direcionamento estrito à finalidade do tratamento dos dados; c) informação acerca do objetivo da coleta, do processamento e do uso dos dados e das consequências da não autorização.
Outrossim, as atividades de tratamento de dados pessoais deverão estar norteadas pelo princípio da boa-fé e sua função social, no caso, atendimento da finalidade, mediante realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com o objeto da relação econômica.
Outra diretriz é a da “necessidade”, porquanto o tratamento dos dados deve estar limitado ao mínimo necessário para a realização das finalidades da startup, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados.
O titular, por sua vez, deverá ter livre acesso aos seus dados, eis que se trata de uma garantia dos titulares dos dados, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integridade de seus dados pessoais.
Realizada a coleta e armazenamento dos dados, a startup deve primar pela qualidade dos dados, especificamente garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento; Desde o ponto de vista das garantias dos titulares dos dados, as startups devem estar alinhadas com dois primados, o da transparência e o da segurança dos dados.
Em relação à transparência dos dados, deve-se garantir aos titulares informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento.
A segurança, por sua vez, implica na utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.
A – Consentimento
O tratamento de dados pessoais somente poderá ser realizado mediante o fornecimento de consentimento pelo titular e quando necessário para atender aos interesses legítimos da startup ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.
O controlador que obteve o consentimento que necessitar comunicar ou compartilhar dados pessoais com outros controladores deverá obter consentimento específico do titular para esse fim, ressalvadas as hipóteses de dispensa do consentimento previstas na Lei.
O consentimento previsto deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular.
B – Tratamento de dados sensíveis
O tratamento de dados pessoais sensíveis somente poderá ocorrer quando o titular consentir, de forma destacada, para finalidades específicas.
Enquadram-se como dados sensíveis v.g., convicções filosóficas, políticas, filiação partidária ou sindical, fé religiosa, vida privada, origem racial ou étnica, vida sexual, saúde e dados genéticos, eis que o seu uso tem potencial caráter discriminatório.
Com efeito, o cuidado com os dados sensíveis está diretamente relacionado com o princípio da não discriminação, qualificado como a impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos.
De igual gravidade seria eventual vazamento destes dados, implicando em automática informação ao titular dos dados e reparação pelo prejuízo provocado.
Conclusão
Em suma, a inovação tecnológica no tratamento de dados e a harmonização da tutela da privacidade, decorrente da aplicação da lei, constituir-se-á em uma tomada de decisão das startups sobre quando abrir e fechar os acessos aos dados pessoais.
Recomenda-se, tendo em vista o desenvolvido no trabalho, que as startups exerçam atuação de prevenção, mediante a adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.
O que se pretende, pois, ao observar a aplicação das LGPD ao ecossistema é assegurar, além da evidente obediência normativa, um tratamento dos dados que se possa qualificar como legítimo e igualitário.
Autor
Corálio Pedroso Gonçalves
Advogado, especialista em Direito Internacional Econômico e Mestre em Direito. Possui formação em Direito das Startups pelo Insper. Colabora com revistas digitais voltadas para o ecossistema das Startups. Em conjunto com Luiz Alberto Zechlinski forma parceria com foco em Advocacia em Dados.
Luiz Alberto Zechlinski
Advogado, Engenheiro e Especialista em Gestão de Qualidade em Empresas. Consultor na área de ISO. Em conjunto com Corálio Pedroso Gonçalves forma parceria com foco em Advocacia em Dados.
Referências [1] O Projeto de Lei 1.179/20, que trata do Regime Jurídico Emergencial e Transitório das relações jurídicas de Direito Privado no período da Covid-19, aprovada pelo Senado Federal, adiou o inicio da vigência da lei para 2021.