A Lei Geral de Proteção de Dados e a Advocacia
Escrito por:
Juliana Fernandez Metedieri Mentoni
Marcio Romeu Mendes
Até a edição da Lei nº 13.709 de 14 de agosto de 2018, amplo debate multissetorial a precedeu, envolvendo consultas e audiências, junto à Comissão Especial formada para esse fim, contribuições de grandes empresas, especialmente de telecomunicações que guardam em sua base de dados uma vasta quantidade de informações pessoais, inclusive acontecimentos de ampla repercussão internacional, como o vazamento de dados, assim como seu compartilhamento sem o consentimento dos titulares feitos por empresa de tecnologia, a exemplo do Facebook, no famoso caso envolvendo a empresa Cambridge Analytica, empresa de análise de dados que trabalhou com o time responsável para a campanha do republicano Donald Trump, nas eleições de 2016, e que teria comprado o acesso a informações pessoais de usuários desta rede social, buscando utilizar esses dados para influenciar a escolha dos eleitores nas urnas.
Partindo destas premissas e de previsões normativas da Europa, pioneira na iniciativa de proteção de dados pessoais, a lei geral de proteção de dados trouxe importantíssima regulação quanto a sua utilização proporcionando segurança jurídica e transparência, no que diz respeito ao uso de informações pessoais armazenadas por empresas e pessoas físicas que fazem o tratamento de dados pessoais.
A tendência global de proteção aos dados proporcionando ao cidadão e às empresas garantias quanto ao seu uso direcionou o Brasil a alçar a normatização que se parametrizou, principalmente, na General Data Protection Regulation (GDPR), traduzido em português para Regulamento Geral de Proteção de Dados, regulamento Europeu, que começou a ser idealizado em meados de 2012, e que entrou em vigor em 25 de maio de 2018. Já se falava na preocupação da proteção dos dados pessoais na Europa quando surgiram os primeiros projetos de processamento de dados em larga escala, apresentando uma legislação unificada desde 1995, embora não correspondessem ao cenário tecnológico atual.
A este respeito, fazendo uma rápida retrospectiva histórica, a Corte Europeia de Direitos Humanos (CtEDH), interpretando de maneira sistêmica o artigo 8º da Convenção Europeia de Direitos Humanos que estabelece o direito a uma vida privada e familiar, identificou que a coleta e o armazenamento de dados pessoais estão compreendidos na tutela do direito à vida privada. Porém, esta perspectiva histórica foi formada no âmbito das práticas de monitoramento e vigilância dos cidadãos objurgada por rivalidade política, sob a justificativa de guardar a segurança nacional.
Mais adiante, forte na globalização, é que foi se sedimentando o conceito de privacidade, do modo como é usualmente empregado, pautado na proteção de dados pessoais, diante da crescente utilização de tecnologia digital e do amplo dimensionamento da economia global ligando países e empresas multinacionais tornando inimaginável a rapidez na troca de informações pessoais.
O resultado desta crescente troca e compartilhamento de informações demandou a uniformização legislativa para a proteção dos dados dos cidadãos que eram deixados expostos a práticas potencialmente abusivas, movendo-se os países europeus a buscar solução jurídica de proteção dos dados pessoais, mesmo que de informação pública, tanto em poder do setor público quanto do setor privado.
A primeira lei brasileira a tratar tão amplamente do tema foi sancionada em agosto de 2018 e, nos termos do artigo 65, inciso II, entrará em vigor 24 meses após a data de sua publicação, ou seja, a partir de 14 de agosto de 2020, com ressalva aos dispositivos elencados no capítulo IX, que se referem à criação da autoridade nacional de proteção de dados que entrou em vigor logo no dia 28 de dezembro de 2018.
A respeito da Autoridade Nacional de Proteção de Dados, responsável pela instauração do procedimento administrativo e pela aplicação das sanções, cabe observar que possui natureza transitória, subsistindo pelo prazo de dois anos, devendo, após esse lapso temporal, ser submetida ao regime autárquico especial de vinculação à Presidência da República, nos termos do artigo 55-A, §1º, da lei de proteção geral de dados.
Como medida que visa resguardar a proteção de dados pessoais contra compartilhamentos não autorizados e venda de dados de seus titulares, os dois primeiros artigos já dispõem expressamente sobre a salvaguarda dos direitos fundamentais da liberdade, liberdade de expressão, informação, comunicação, opinião, privacidade e intimidade, livre desenvolvimento da personalidade, autodeterminação informativa, honra, imagem, direitos do consumidor, direitos humanos e cidadania, estendendo esta proteção a operações realizadas em território brasileiro ou estrangeiro, neste último caso, independentemente do país sede da empresa, mas desde que tenha estabelecimento no Brasil, da localização dos dados, do meio de operação do tratamento de dados e da nacionalidade dos titulares dos dados.
A lei geral de proteção de dados projeta-se tanto sobre dados que são públicos por lei, quanto por aqueles que expressamente anuíram seu tratamento por pessoas físicas ou jurídicas de direito público ou privado, assim como por aqueles dados que foram de maneira inequívoca publicados por seus titulares.
A adequação à sistemática de proteção dos dados é extensiva à toda pessoa física e pessoa jurídica de direito público ou privado que de alguma forma possua o tratamento de dados de informações pessoais, não se restringindo, a empresas que possuam plataforma digital.
Assim, as regras são de observância obrigatória seja para empresas de grande porte, impondo a toda e qualquer atividade empresarial a adequação as previsões normativas independentemente do tamanho, do faturamento, e do tipo de sociedade, seja para escritórios de advocacia e contabilidade, e demais empresas que façam tratamento de dados.
A respeito do tratamento de dados, a Lei em comento traz uma definição abrangente, em seu artigo 5º, inciso X que o conceitua como “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”.
Em razão da amplitude do conceito de tratamento de dados, e da finalidade precípua de proteção aos dados pessoais, a lei trouxe soberania à pessoa natural que deve anuir de forma expressa e não verbal para que seus dados sejam tratados, devendo as empresas fornecer formas pelas quais torne claro que o titular dos dados concedeu a anuência, o que pode ser observado, comumente, na política de privacidade e termos de uso.
Como corolário lógico da soberania da pessoa que a lei visa proteger, é permitido requisitar a alteração dos dados, sua exclusão ou mesmo a revogação da anuência, situações estas que não eram possíveis anteriormente à normatização. A respeito dos direitos específicos dos titulares dos dados pessoais, a lei geral de proteção de dados traz uma série de possibilidades, cabendo destaque para o direito de exigir o cumprimento de todas as obrigações de tratamento previstas na lei, ainda que se trate de casos excepcionais que dispensem a anuência do titular, o direito à inversão do ônus da prova quanto ao consentimento, o pleito de nulidade de autorizações genéricas para o tratamento dos dados pessoais ou mesmo nas hipóteses em que as informações passadas ao titular tiverem conteúdo enganoso e abusivo e que não tenham sido fornecidas com lisura e transparência, o direito de revogar o consentimento a qualquer tempo, a título gratuito e simplificativo, através de manifestação expressa, assim como na hipótese de discordância quanto às alterações promovidas no tratamento de dados, o direito ao conteúdo do tratamento, bem como das informações sobre os agentes de tratamento, o direito de ser informado acerca do uso dos dados pela Administração Pública para os fins autorizados por lei e realização de estudos de pesquisa, além do direito de condicionar o compartilhamento de dados por determinado agente de tratamento que já obteve o consentimento a novo consentimento específico.
A lei garante, ainda, direito à anonimização dos dados sensíveis, que, segundo o inciso II, do artigo 5º da lei geral de proteção de dados conceitua-se como o “dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”, especialmente no que diz respeito ao direito de impedir o uso compartilhado desses dados pessoais sensíveis com o objetivo de obtenção de vantagem econômica pelos agentes de tratamento.
Além da abrangência protetiva, buscou a lei regulamentar o sancionamento nas hipóteses de violação a seus dispositivos por parte das empresas e também da pessoa física que de alguma forma faça o tratamento de informações pessoais de seu banco de dados. Isto porque, dentre os grandes desafios da lei encontra-se a atuação de empresas que através de seus sistemas de inteligência artificial coletam rastros digitais de pessoas, especialmente, em redes sociais, bem como em documentos digitais em volume cada vez maior publicado na internet, classificando-as a partir dessa coleta de seus dados.
Daí porque, a lei de proteção de dados pessoais também acolheu a figura da anonimização que, nos termos de seu artigo 5º, inciso IX é conceituada como “a utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo”. Nota-se que a lei fala em razoabilidade, significando que os dados anonimizados são passíveis de identificação dependendo do tipo de técnica aplicada pelos agentes de tratamento e do nível de anonimização e qualidade dos dados, limitando a maneira como o pesquisador poderá utilizar estes dados.
Importante destacar que o reconhecimento dos chamados direitos da personalidade mostrou-se fundamental para a disciplina atual da proteção da privacidade e dos dados pessoais, de modo a dotar o sistema jurídico de freios ao uso indiscriminado dos dados pessoais como insumo para as mais diversas atividades econômicas.
Não há dúvidas sobre o valor econômico do tratamento de dados na era da informação, já tendo sido comparado ao novo petróleo, haja vista o caso envolvendo a empresa Cambridge Analytica, acima mencionado, de modo que as discussões de caráter patrimonialista continuam permeando as questões relativas à privacidade e aos atributos de identidade da pessoa humana, como nome, imagem, localização geográfica etc, mas a discussão na atualidade tem adquirido contornos mais amplos e complexos.
A situação acima entra na seara, a título exemplificativo, de estudos por órgãos de pesquisa que realizam a coleta de dados de empresas diversas, a partir de versões geradas do banco de dados pelos agentes de tratamento de cada uma delas, de modo a dificultar a obtenção de informações potencialmente identificáveis relacionadas aos registros de cada pessoa.
Desta forma, cada vez mais as empresas ou pessoas físicas que possuírem dados pessoais em tratamento devem promover um controle gerencial e segregação da identificação, reduzindo-se as possibilidades de reidentificação para a formação da imagem dos titulares dos dados, principalmente pela previsão na lei de proteção de dados de aplicação de sanções civis e administrativas, sem prejuízo de aplicação de sancionamento penal.
Sob esta ótica, o Decreto nº 8.771/2016 (Decreto do Marco Civil da Internet), já trouxe em seu bojo a adoção de mecanismos de gerenciamento de base de dados, inclusive a previsão de autenticação dupla e a individualização do respectivo usuário, cabendo destaque para o inciso IV do artigo 13, segundo o qual dentre as diretrizes a serem observadas sobre os padrões de segurança de dados pessoais e comunicações privadas deve ser adotado “o uso de soluções de gestão dos registros por meio de técnicas que garantam a inviolabilidade dos dados, como encriptação ou medidas de proteção equivalentes”.
Do ponto de vista acima, compreende-se, também, que a lei geral de proteção de dados, visou não apenas o resguardo da proteção das pessoas respeitando-se a privacidade, liberdade de expressão, intimidade, honra e imagem, os direitos humanos e o desenvolvimento da personalidade, dentre outros fundamentos, mas também dimensionou um sistema de freios contra os agentes de vigilância, de modo a conter a extração maciça de dados e a consequente utilização de informações sem a ciência ou o consentimento dos dados informados pelos usuários.
Sob esta perspectiva, ainda que o usuário tenha consentido para o tratamento de dados através do fornecimento de suas informações, não se pode deixar de mencionar que o artigo 6º da lei geral de proteção de dados determinou a observância de princípios básicos direcionados aos agentes de tratamento que devem sempre ser pautados na boa-fé e na confiança, bases principiológicas do negócio jurídico, elencando uma série de restrições na operação do tratamento de dados.
É essencial, ainda, destacar as situações que asseguram a eliminação e o término do tratamento de dados e que estão disciplinadas nos artigos 15 e 16 da lei geral de proteção de dados, possibilitando o término nas hipóteses de verificação da finalidade alcançada ou quando os dados deixarem de ser necessários ao alcance da finalidade específica, no fim do período do tratamento, no exercício do direito de revogação pelo titular, na determinação da autoridade nacional, em havendo violação às disposições normativas, sendo que os dados pessoais serão eliminados após o tratamento, salvo as hipóteses em que autorizada a conservação para finalidades como o cumprimento de obrigação legal, o estudo por órgãos de pesquisa, garantindo-se, “sempre que possível”, a anonimização dos dados pessoais, a transferência a terceiro, desde que respeitados os requisitos de tratamento de dados, e, por fim, para o uso exclusivo pelo controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.
Vale mencionar que ao referir-se ao termo “sempre que possível”, a lei geral de proteção de dados já demonstra que garante apenas uma pseudoanonimização, havendo certo grau de incerteza quanto à segurança e confiança na irreversibilidade da anonimização, pois há possibilidade da associação ser feita pelo uso de informação adicional mantida separadamente por um dos agentes de tratamento, cabendo ressaltar, novamente, que cabe às empresas gerenciarem e se precaverem quanto ao modo de operação de tratamento dos dados pessoais.
Neste norte, compete às pessoas jurídicas de direito público e privado, assim como às pessoas físicas que tenham em sua base dados pessoais e que realizem o tratamento desses dados a salvaguarda de ordem técnica, organizacional e contratual que proíba a reversão de processo de anonimização, estabelecendo a delimitação da ação de cada agente de tratamento de dados e, até mesmo a destruição dos dados tão logo seja concluída a atividade de tratamento, buscando continuamente a atualização e a melhor solução para cada tipo de atividade exercida pelo agente de tratamento, havendo possibilidade de utilização de diversos sistemas de inteligência artificial e Big Data, ferramentas tecnológicas que viabilizam o gerenciamento acentuado dos dados pessoais.
No que diz respeito à violação à lei de proteção de dados pessoais, após regular procedimento administrativo que possibilite o contraditório e a ampla defesa, há previsibilidade de aplicação de sanções, previstas a partir do artigo 52 da lei, e que trazem em seu bojo desde a aplicação de advertência até a imposição de multa dependendo do faturamento da pessoa jurídica, limitada ao total de R$ 50.000.000,00 (cinquenta milhões) de reais, sem prejuízo da publicização da infração, posteriormente à confirmação de sua ocorrência, do bloqueio ou mesmo a eliminação dos dados pessoais a que se refere à infração, a suspensão parcial do funcionamento do banco de dados, além da proibição parcial ou total de atividades relacionadas a tratamento de dados.
Estabelece a lei critérios de gradação, conforme a gravidade da conduta dos agentes de tratamento, a sua condição econômica, cooperação do infrator e reincidência.
Frisou a lei que referidas sanções serão aplicadas sem prejuízo das sanções penais, administrativas ou civis, e aquelas definidas em legislações específicas e pelo Código de Defesa do Consumidor, prevendo mecanismos protetivos similares a este diploma legal, como no caso de inversão do ônus da prova.
Importante ressaltar que a lei garantiu a responsabilização solidária dos agentes de tratamento de dados, que são basicamente o controlador, responsável pela tomada de decisões em relação ao modo como os dados serão tratados e o operador, responsável por colocar em prática, por operacionalizar as decisões, pela violação a legislação de proteção de dados, garantindo a possibilidade de ação regressiva por parte daquele que reparar o dano.
Considerando a supremacia do interesse da pessoa natural, poderá haver a inversão do ônus da prova nas hipóteses em que for verossímil a alegação, houver hipossuficiência para fins de produção de prova ou quando sua produção pelo titular torne-se excessivamente onerosa.
Traçado um panorama geral a respeito dos agentes aos quais são direcionadas as disposições da lei, de seus fundamentos, da finalidade precípua de proteção ao cidadão que fornece seus dados pessoais aos agentes de tratamento, dos direitos e obrigações das partes envolvidas, e das responsabilidades e sanções cabíveis, é preciso contextualizar a realidade sob o prisma dos escritórios de advocacia e dos advogados, que, igualmente, devem observar os estritos termos da lei geral de proteção de dados, já que de algum modo fazem o tratamento dos dados pessoais de seus clientes, mormente com a informatização do sistema processual através do Processo Judicial Eletrônico, de sigla PJE, que vem trazendo uma nova realidade aos escritórios que também estão buscando cada vez mais a utilização de inteligência artificial para o acondicionamento de dados.
Como frisado anteriormente, não somente às grandes empresas que possuem plataforma digital a lei está direcionada, mas também, às pessoas físicas que fazem o tratamento de dados pessoais, assim como a escritórios de advocacia que deverão se adaptar à nova rotina de proteção de dados.
Para os escritórios de advocacia, é essencial a garantia no armazenamento e, principalmente, no gerenciamento das informações de seus clientes, cujos cuidados devem iniciar logo no início da captação dos dados, até o momento em que as informações são descartadas.
Partindo dessa premissa, é adequado começar a mudança, inicialmente, na elaboração do contrato com o escritório, seja de prestação de serviços ou de honorários advocatícios, que deverá deixar de ser padrão, como usualmente é visto, em verdadeira mudança de paradigma, para que nele sejam inseridas cláusulas e condições que garantam a operacionalização do tratamento de dados pessoais dos clientes, conferindo a máxima lisura e quantidade de informações expressas e inequívocas sobre a guarda dessas informações, os direitos do usuário sobre a coleta e o processamento de dados, a consulta, restrição e portabilidade, a possibilidade de repasse a terceiros, a alteração e atualização de dados, contemplando, ainda, regras de confidencialidade, e, até mesmo, a questão da anonimização que, como visto acima, trata-se da adoção de técnicas que visam garantir a impossibilidade e a dificuldade de associação direta ou indireta dos dados disponíveis a um indivíduo, considerando-se, ainda, os dados sensíveis do cliente, tudo para que a anuência e a aposição da assinatura no contrato sejam indene de dúvidas.
Deverão, ainda, registrar cláusulas a respeito da responsabilidade por eventual violação às normas da lei geral de proteção de dados, especialmente pela previsão de responsabilidade objetiva, contida no artigo 42, assim como medidas preventivas ou corretivas para se evitar ou mitigar possíveis dados pessoais aos titulares dos dados.
Logicamente, a adequação deve nortear todos os tipos de contrato elaborado pelo escritório, sejam aqueles visando atender seu próprio funcionamento, sejam as adaptações necessárias na elaboração de contratos de empresas-clientes, ainda que para o exercício regular de direitos em processos judiciais, administrativos ou mesmo arbitrais.
É importante ressaltar que haverá modificações significativas nos sistemas digitais dos escritórios garantindo a máxima proteção do tratamento de dados, e minimização de riscos de qualquer incidente, dentre outras condutas, como a elaboração e revisão de política de privacidade do website, dos termos de uso, da segurança da informação e da proteção dos dados de seus próprios funcionários (currículos que contém o nome, sobrenome, RG, CPF, número de telefone, histórico profissional, perfil em rede social, informação salarial), até mesmo eventual e-mail marketing para o envio de newsletter, deverá ter o consentimento das pessoas que receberão o conteúdo.
Para a implementação e preparação dos escritórios às regras da lei geral de proteção de dados será necessário o uso constante das ferramentas tecnológicas e a dinâmica de proteção dos dados pessoais poderá ser efetivada com a prática do uso de armazenamento de arquivos na nuvem, o backup automático dos arquivos, e, para aqueles que contém com servidor, sua atualização constante e uso de softwares jurídicos.
O papel do escritório deve ser ampliado, ainda, em direção ao treinamento de sua equipe (advogados associados, funcionários, prestadores de serviços) promovendo a realização de treinamentos conferindo e incutindo no meio ambiente de trabalho a concretização da cultura de proteção de dados e o respeito à privacidade.
Cabe destacar que para aqueles escritórios que possuam como clientes eminentemente as empresas e grupo empresarial é imprescindível a busca pela atualização dos profissionais inerente a qualquer alteração legislativa sobre o tema, que pode envolver o comparecimento a palestras, a realização de cursos e workshop, objetivando o diálogo mais claro possível e a solução adequada para as dúvidas que certamente serão diversas que podem envolver a revisão de contratos, a inserção de cláusulas especiais de consentimento de uso, o mapeamento de riscos, a reavaliação de condutas em relação à privacidade dos dados pessoais, à luz dos direitos dos usuários, titulares dos dados, até a adaptação ao novo sistema de proteção de dados.
Além disso, para alcançar a formatação deste novo tipo de sistema, será necessário forte apoio profissional, do setor de tecnologia da informação, com amplo diálogo com o gestor do escritório, avaliando-se a complexidade do ambiente e tipo de atividade, além dos tipos de clientes, assim como seu ramo de negócio e precisão no conhecimento de atuação dos clientes identificando-se os dados que poderão ser tratados, e possíveis vulnerabilidades existentes, pois tais modificações vão além da mera formalidade jurídica. O constante diálogo também deve nortear o modo como os dados serão eliminados, de modo a permitir o gerenciamento de informações que estão à disposição do gestor, a natureza e a finalidade dos dados e os mecanismos adotados pelo escritório no fornecimento de informações aos titulares dos dados pessoais ao solicitar o consentimento para a coleta e seu processamento.
Dentro desse contexto, impõem-se observar que as operações a serem adotadas pelos escritórios devem ir além do sigilo profissional da prática da advocacia, mas representar a elaboração de um plano de adequação e adaptação ao novo regime normativo de proteção de dados e segurança da informação visando conferir a máxima efetividade aos interesses e atividade-fim de seus representados.
A fim de viabilizar a conformidade às regras da lei geral de proteção de dados, os escritórios devem optar por buscar profissionais capacitados da tecnologia da informação para que sejam responsáveis pela política de proteção de dados, mas sempre dialogando diretamente com os funcionários auxiliando-os e orientando-os na gestão da comunicação com os titulares, sejam pessoas físicas ou jurídicas, principalmente para prestar esclarecimentos; executar o mapeamento de dados; identificando o ciclo de armazenamento, formas de coleta, compartilhamento e descarte; criação de uma política de segurança da informação e proteção alinhadas a lei geral de proteção de dados garantindo sua aplicabilidade; tornar clara a demonstração ao titular quanto a seus direitos, tomadas de decisão sobre as informações e as penalidades, além da documentação acerca do consentimento expresso do cliente e proteção dos dados com estrutura que conserve a segurança na transmissão, criptografia e pseudonimização.
Diante do exposto, a implementação das novas regras e a adequação dos escritórios de maneira mais célere criará vantagem competitiva, pois serão requisitados aqueles que estiverem conforme os padrões transmitindo reputação, credibilidade e confiabilidade, porquanto o cenário viabilizará a procura pelas empresas de grande visibilidade e, consequentemente, trazendo novas demandas ao crescimento do escritório.
