A TRANSFERÊNCIA INTERNACIONAL DE DADOS PESSOAIS E OS IMPACTOS DA LGPD

A Lei Geral de Proteção de Dados Pessoais – Lei nº 13.709/2018, no seu texto final conceitua o que é caracterizado como transferência internacional de dados pessoais, quais as hipóteses em que tal atividade é autorizada e os requisitos que devem ser observados pelas as companhias para que a atividade de tratamento garanta ao titular do dado pessoal a segurança, a legalidade e a privacidade necessária.

O legislador teve a intenção de adotar regras similares àquelas do direito europeu, inclusive para que o Brasil passasse a apresentar cenário mais atrativo do ponto de vista comercial-regulatório.

A Argentina, que desde 2000 possui Lei de Proteção de Dados, foi o primeiro país latino-americano a conseguir o reconhecimento da União Europeia como país com uma legislação adequada para transferência de dados provenientes do aludido território, o que indica certa atenção do legislador brasileiro em também ambicionar tal acreditação.

No artigo 5º da Lei Geral de Proteção de Dados Pessoais, tem-se as definições e conceitos de alguns conceitos e temas da lei, sendo que em seu inciso XV, tem-se a definição do que é a transferência internacional de dados, que se traduz na “transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro”.

A LGPD nessa questão, segue o modelo da GDPR (General Data Protection Regulation), que é o regulamento do direito europeu sobre privacidade e proteção de dados pessoais, pois procura garantir direitos fundamentais a partir de restrições impostas em lei para o fluxo internacional de dados.

O artigo 33 da LGPD deixa clara a intenção da legislação brasileira restringir as hipóteses em que é permitida a transferência internacional de dados pessoais, o que a partir da leitura da lei, nos permite deduzir que a possibilidade de transferência internacional de dados é exceção à regra, somente admitida se cumprida uma das hipóteses taxativas dos seus incisos, conforme redação abaixo:

Art. 33. A transferência internacional de dados pessoais somente é permitida nos seguintes casos:

Após as considerações acima, passemos a análise dos requisitos para se legitimar uma transferência internacional de dados à luz da LGPD.

I – para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto nesta Lei;

O dispositivo acima, que tem clara influência das regras da GDPR, dependerá de uma avaliação criteriosa pela ANPD (Autoridade Nacional de Proteção de Dados), tendo como base o disposto no artigo 34 da lei, sendo que após tal avaliação e havendo o reconhecimento como de nível adequado, afasta-se a necessidade de cumprimento de qualquer outro requisito, estando, portanto, justificada legalmente a transferência a um desses países.

II – quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos nesta Lei, na forma de:

a) cláusulas contratuais específicas para determinada transferência;

b) cláusulas-padrão contratuais;

c) normas corporativas globais;

d) selos, certificados e códigos de conduta regularmente emitidos;

Todas as garantias mencionadas no inciso supra deverão ser objeto de especificação e chancela por parte da ANPD, conforme da leitura do artigo 35 do mesmo diploma legal, sendo que os requisitos para tal avaliação encontram-se dispostos nos parágrafos. Nesse sentido, há de se ter cautela para que as regras de transferência internacional de dados previstas pela LGPD não se tornem obstáculo indesejado ao legítimo e necessário fluxo de dados por inércia da ANPD.

III – quando a transferência for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de direito internacional;

A lei visa garantir a manutenção dos serviços de inteligência internacional, investigações e atividades de cooperação jurídica internacionais.

IV – quando a transferência for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiro;

O que o inciso acima visou garantir foi a prevalência do direito a vida e da integridade física, o qual não pode ser mitigado por questões relativas à limitação do fluxo de dados pessoais.

V – quando a autoridade nacional autorizar a transferência;

Esse inciso traz a possibilidade de apreciação e consequente autorização, pela ANPD, de transferências específicas.

VI – quando a transferência resultar em compromisso assumido em acordo de cooperação internacional;

O referido inciso visa garantir o cumprimento do estabelecido nos acordos de cooperação internacional firmado por outros países com o Brasil, visando garantir o intercâmbio comercial, cultural e de até mesmo de políticas públicas. 

VII – quando a transferência for necessária para a execução de política pública ou atribuição legal do serviço público, sendo dada publicidade nos termos do inciso I do caput do art. 23 desta Lei;

A presente hipótese está limitada à atividade da Administração Pública, devendo ser interpretada de forma restritiva e limitada, pois ela não confere uma faculdade de transferência internacional de dados sob a escusa de execução de política pública, mas permite que esta ocorra apenas e tão somente quando necessário para viabilidade a execução da política em referência.

VIII – quando o titular tiver fornecido o seu consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação, distinguindo claramente esta de outras finalidades; ou

Conforme disposição do art. 7º da LGPD, o tratamento de dados poderá ser realizado quando houver o consentimento do titular, ou seja, quando houver a manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.

Assim, o titular do dado deve ter de maneira clara que as suas informações serão tratadas em outro(s) território(s), além do nacional, devendo estar clara a finalidade de transmissão para outra entidade ou para que o tratamento ocorra em outro país.

IX – quando necessário para atender as hipóteses previstas nos incisos II, V e VI do art. 7º desta Lei.

As hipóteses previstas nos incisos II, V e VI do artigo 7º preveem que o tratamento de dados pessoais somente poderá ser realizado para o cumprimento de obrigação legal ou regulatória pelo controlador; quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados; ou para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307/1996 (Lei de Arbitragem), respectivamente.

Sendo assim, após análise dos incisos do artigo 33, percebe-se a importância de alguns dos papéis que a Autoridade Nacional de Proteção de Dados Pessoais – ANPD desempenhará para a atividade de proteção de dados pessoais

Portanto, em razão da necessidade de tornar o território brasileiro em um ambiente seguro para as atividades empresariais que envolvam o tratamento de dados pessoais, buscou-se a que a legislação pátria retratasse as melhores práticas dos países europeus, além de estabelecer que os parceiros de negócios internacionais estejam enquadrados nos requisitos da referida legislação e ou que estejam localizados em um país em que tenha uma legislação de proteção de dados em consonância com a brasileira, de forma a permitir uma troca de dados pessoais internacionais em estrita observância as melhores práticas, garantido ao titular do dado privacidade e proteção dos seus dados.

02 anos da Lei Geral de Proteção de Dados Pessoais

Hoje, 14 de agosto de 2020, a Lei Geral de Proteção de Dados – LGPD faz aniversário, completando 02 anos desde a sua sanção pelo então Presidente da República Michel Temer. A princípio, a data também marcaria a entrada em vigor da legislação, mas que em razão da pandemia do novo coronavírus (COVID-19) teve o seu prazo de vigência prorrogado para 03 de maio 2021, conforme estabelecido na Medida Provisória nº 959/2020.

A Medida Provisória n.º 959/2020, pela sua natureza, produz efeitos legais a partir de sua publicação, contudo, a concretização desses depende da aprovação do Congresso Nacional (Câmara e Senado). Assim, a entrada em vigor da Lei está prorrogada para maio de 2021, ou seja, até que o Congresso Nacional vote e module os seus efeitos.

A LGPD tem como objetivo a proteção dos dados pessoais de clientes, fornecedores, colaboradores, prestadores de serviços e outros possíveis cadastros físicos e virtuais, o que torna o Brasil mais seguro em relação ao tema, e muito próximo ao cenário propiciado pela General Data Protection Regulation (GDPR) na União Europeia.

Os benefícios de ter a tão sonhada conformidade com a LGPD são inúmeros, pois com isto há um aumento do ambiente de segurança empresarial, há uma facilitação na realização de negócios internacionais, além de dar maior integridade, transparência e confiança à clientes, parceiros e colaboradores.

A GDPR que se encontra em vigor nos países da União Europeia, constatou que um dos principais resultados práticos nas empresas foi o aprimoramento do compliance, sendo que pelo lado dos titulares dos dados, os três principais assuntos levantados foram o acesso aos seus dados pessoais, a divulgação de dados pessoais tratados e a restrição ao processamento de dados, direitos que a LGPD também garantiu aos titulares dos dados pessoais coletados ou tratados em território nacional brasileiro.

Com a maturação da GDPR, as organizações podem se concentrar na LGPD no que se refere ao propósito de seus negócios e em como ela os tornará bem-sucedidos e possibilitará ganhos de negócios em relação as atividades que envolvam o tratamento de dados pessoais.

Sendo assim, independentemente da entrada em vigor da Lei, se prorrogada para maio de 2021 ou na data de hoje, 14 de agosto de 2020, com a modulação dos seus efeitos até a data de votação da Medida Provisória pelo Congresso Nacional, o prazo para que as Companhias que ainda não iniciaram um processo de conformidade com à Lei é extremamente curto, pois mudanças de hábitos e processos internos são necessários, além de treinamento de pessoal, de forma a minimizar os efeitos de uma eventual aplicação das sanções administrativas pela Autoridade Nacional de Proteção de Dados – ANPD, assunto este que já foi tema de artigo publicado pelo nosso escritório.

Portanto, a sua organização deve-se perguntar, “Como anda o meu projeto de adequação a Lei Geral de Proteção de Dados”?

Não obstante a etapa do processo de conformidade com a proteção de dados que a sua Companhia estiver, a equipe do Corrêa Ferreira Advogados está apta para auxiliar.


LGPD: fail fast, learn faster

A data de entrada em vigor da Lei Geral de Proteção de Dados (Lei n.º 13.709/2018) continua uma incógnita. Por outro lado, é certo que o mais importante em relação à LPGD é começar a se atentar para as novidades a serem incorporadas às rotinas de trabalho.

Hoje, às vésperas do aniversário da publicação da Lei, é evidente que aqueles que se prepararam para o novo regulamento encontraram grandes questionamentos e desafios, mas que, a essa altura, já foram superados ou minimizados.

Isso porque, não há dúvidas de que em projetos como a adequação do tratamento de dados ao regulamento da LGPD, vale o conhecido jargão de que ‘o feito é melhor do que perfeito’, ou na versão moderna e adaptada ao campo do empreendedorismo e startups: ‘fail fast, learn faster’.

Afinal, a conformidade das atividades empresariais com o regulamento da LGPD é um projeto que envolve pelo menos três pilares: segurança de informação, legalidade dos atos praticados e cultura da instituição, sendo esse último o mais relevante.

Assim, por envolver a análise crítica da mentalidade dos gestores e colaboradores da empresa, a modificação ou ajuste de cultura da instituição não é um caminho que se percorre em um dia, principalmente porque não é possível mensurar com precisão todos os percalços que podem surgir ao longo da jornada.

Não por outro motivo diversas empresas já estão no processo de adequação à LGPD há muito tempo, independentemente da incerteza da data de vigência da lei. A tendência é, inclusive, que essas empresas exijam, ou já estejam exigindo, de seus fornecedores e stakeholders em geral, que também se adequem às exigências da Lei.

Afinal, a conformidade com a LGPD, mais do que mera política de proteção de dados pessoais, envolve todas as etapas da operação do negócio, desde o momento em que se decide contratar empregados, passando pela seleção de fornecedores, contato e prospecção de clientes, até o momento de entrega do produto ou finalização do serviço.

Para se alcançar a conformidade com a LGPD, uma poderosa ferramenta para o percurso é o domínio da metodologia PDCA, técnica de gestão desenvolvida pelo americano Walter Andrew Shewhart e amplamente divulgada no Brasil pelo professor Vicente Falconi.

Em linhas gerais, a técnica do PDCA pode ser definida como uma ferramenta de resolução de problemas a ser utilizada em quatro tempos: plan (planejar), do (fazer), check (verificar) e act (agir). Assim, identificado o problema, faz-se necessário planejar as medidas claras e executáveis, implementar os planos elaborados, analisar os resultados obtidos e ajustar o que for necessário.

No caso da proteção de dados, o problema a ser solucionado é exatamente a necessária adequação dos procedimentos internos da empresa para o cumprimento das exigências da Lei n.º 13.709/2018.

Importante destacar que, por mais alinhado que o negócio possa estar à política de proteção de dados, é prudente realizar o diagnóstico, conduzido por consultoria independente e especializada, de modo a validar se a aderência está em níveis aceitáveis.

Verificada a necessidade de se adequar os procedimentos internos para aumentar o nível de aderência à LGPD, é o momento de utilizar a ferramenta do PCDA para alcançar a conformidade legal.

  • Na primeira etapa, identifica-se a finalidade da LGPD e os impactos da lei para a operação do negócio, de modo a atacar eventuais pontos críticos, integrando as práticas já existentes na empresa.
  • Na segunda etapa, busca-se implementar o planejamento traçado com o máximo de envolvimento dos colaborares, deixando claros os objetivos pretendidos e a importância de cada meta estabelecida.
  • Na terceira etapa, espera-se justamente a verificação quanto ao êxito das etapas anteriores, de modo que se tenha a oportunidade de ajustar o planejamento ou reforçar o treinamento aos envolvidos.
  • Por fim, na quarta e última etapa, deve-se consolidar os resultados para replicar as práticas corretas e corrigir aquelas que não contribuíram para os objetivos.

Em resumo, indica-se a ferramenta do PCDA para o projeto de aderência à LGPD pela exata possibilidade de viabilizar a rápida implementação do planejamento, a consequente verificação dos resultados e a possibilidade de adequação.

Nesses casos, orienta-se, inclusive, dedicar maior esforço e atenção nas etapas pertinentes ao monitoramento e correções, no intuito de verificar de forma rápida a resposta dos operadores para cada procedimento sugerido, apurar os resultados de cada etapa, apresentando alternativas eficazes para a conformidade.

A metodologia do PCDA trata-se de aliada para a empresa, independentemente de porte e complexidade da operação, auxiliando de forma decisiva na busca da conformidade e da aderência aos regulamentos da Lei Geral de Proteção de Dados. Contudo, é importante que os gestores estejam atentos e utilizem os prazos da lei a seu favor, iniciando os trabalhos necessários o quanto antes, para não apenas poderem planejar suas ações, como também avaliar e ajustá-las, preparando-se concretamente sem as pressões de eventuais sanções legais previstas.

LGPD: Novo fôlego para adaptação

Divisão tem sido marca nos debates e conversas sobre os temas mais variados no país. A muito o brasileiro ultrapassou as barreiras do futebol e da religião, para discordar também na política, na economia, no planejamento público e tudo o mais que se propõe a debater. Atualmente, mais do nunca, não chegamos mais a qualquer consenso, e isso não necessariamente é ruim.

No segmento da proteção de dados a ‘bola da vez’ da discordância é o termo inicial de vigência da Lei n. 13.709/2018, inicialmente programada para agosto de 2020.

Assim, desde a chegada do coronavirus (COVID-19) e o isolamento social, o conseqüente impacto econômico deu força ao pleito de adiamento da vigência da Lei Geral de Proteção de Dados – LGPD, sob o argumento de que a pandemia teria causado impacto no cronograma de adequação das empresas e dos entes públicos.

Diante disso, nova divisão entre opinião pública e especialistas, deveria ou não ser alterado o marco de vigência da LGPD?

Ora, é evidente que o repentino fechamento de fábricas e estabelecimentos comerciais, e adaptação de considerável força de trabalho em regime de home office, resultou não apenas na mudança dos cronogramas dos projetos em curso, como também impactou no faturamento das empresas e orçamentos de tais projetos. Até porque, em muitos casos, a preocupação com a proteção de dados deu lugar à própria sobrevivência do negócio.

Por outro lado, em que pese tais considerações, também era de conhecimento geral de que grande parte das empresas do país sequer haviam sinalizado qualquer ação visando a adequação de seus negócios à LGPD. Isso porque, muitos se perguntavam se a Lei 13.709/2018 iria ‘pegar’. A esse respeito já me manifestei em outro artigo.

Nesse caso, a pandemia nada mais seria do que um novo motivo – ainda que muito pertinente – para protelar o inicio do marco regulatório da proteção de dados no país.

O debate ganhou mais força e notoriedade em 03/04/2020, quando o Senado Federal aprovou o Projeto de Lei n. 1.179/2020, de relatoria do Senador Antônio Anastásia, que dentre outras disposições, prorrogou por mais 18 meses, a partir de março de 2020, o início da vigência da LGPD.

Hoje, 29/04/2020, em edição do Diário Oficial da União, que apesar de ser extraordinária tem sido cada vez mais corriqueira, trouxe mais um novo capítulo para a proteção de dados no Brasil, a partir da Medida Provisória n. 959/2020.

Segundo o texto da nova MP, a LGPD teve alterada a sua vacatio legis, passando a viger tão somente a partir de 3 de maio de 2021, concedendo o prazo de 12 meses para adequação às disposições da lei geral de proteção de dados.

Assim, independentemente da posição adotada anteriormente, se favorável ou não à prorrogação, o fato é que o cronometro foi novamente ajustado. Para aqueles que já haviam iniciado as medidas para cumprimento da lei, o novo prazo vem para os ajustes necessários aos projetos e lapidação das políticas estruturadas. Para os que não haviam iniciado, tem-se uma nova oportunidade de garantir a legalidade do seu negócio.

Importante lembrar que a proteção de dados será cada vez mais essencial nas práticas comerciais , estando intimamente relacionadas ao próprio funcionamento das empresas, podendo ser fatal negligenciar esse campo.

Seja qual for o seu estágio na proteção de dados, a equipe do Corrêa Ferreira Advogados está capacitada para auxiliar. Conte conoso.

Projeto de Lei prevê a suspensão de despejos e medidas que afetam diretamente as empresas, condomínios e consumidores

Em vista do atual cenário de crise, com proporções ainda desconhecidas, o qual repercute no mundo inteiro e alterou de forma substancial o nosso quotidiano, foi protocolado no Senado, no dia 30 de março de 2020, o Projeto de Lei 1179/2020, de autoria do Senador Antônio Anastasia.

Esse PL vem chamando a atenção da mídia, pois conta com o apoio do Poder Judiciário, por meio do Presidente do Supremo Tribunal Federal, Ministro Dias Toffoli, que também tem se engajado em mobilizar esforços para amenizar os reflexos jurídicos e econômicos da pandemia em função do novo coronavírus.

O texto do Projeto institui normas de caráter transitório e emergencial para regulação de relações jurídicas de Direito Privado especificamente para o período da pandemia do novo coronavírus (Covid-19), conferindo-se especial destaque para os casos dos contratos de locação, devolução de mercadorias, assembleia de empresas e condomínios, prisões civis em decorrência da ausência de pagamento de pensão alimentícia, dentre outros assuntos.

Em deliberação realizada no dia 03/04/2020, o texto original do projeto recebeu diversas emendas e foi aprovado o texto substitutivo no Senado Federal. Em seguida, a proposição legislativa foi encaminhada para a Câmara dos Deputados, onde poderá ser novamente modificada, hipótese em que deverá retornar ao Senado. Ao final, será direcionada ao Presidente da República para sanção ou veto.

Apenas a título ilustrativo, apresenta-se, adiante, alguns pontos contidos no Projeto de Lei e que podem afetar, de uma forma ou de outra, a vida de todos:

Locação

O texto original do PL 1179/2020 previa que os locatários residenciais que sofressem alteração econômico-financeira poderiam suspender, total ou parcialmente, o pagamento dos alugueres vencíveis no período de 20 de março de 2020 a 30 de outubro de 2020, mediante posterior quitação parcelada.

Contudo, o referido dispositivo foi suprimido do texto legal, sob o entendimento de que seria mais prudente deixar que as partes envolvidas nos contratos de locação negociem alternativas para pagamento dos alugueis, a depender das circunstâncias envolvidas no caso concreto.

Despejo

Ainda em relação aos contratos de locação, outro ponto de destaque e que, ao contrário da previsão de suspensão do pagamento de alugueis, foi mantido e aprovado no Senado Federal, diz respeito à vedação a concessão de liminar para desocupação de imóveis urbanos em geral nas ações de despejo, envolvendo demandas ajuizadas a partir de 20 de março de 2020.

Muito embora conste no próprio PL algumas exceções, fato é que, como regra, o texto veda a realização do despacho em caráter de urgência, medida que vem sendo alvo de repercussão e de discussão.

No que se refere ao termo final da aludida vedação, necessário pontuar que o texto original do PL fixou a data de 31 de dezembro de 2020. Contudo, para adequar tal previsão ao marco final da fase de excepcionalidade fixado no PL, foi aprovada emenda para determinar que a vedação seja aplicada até o dia 30 de outubro de 2020.

Lei Geral de Proteção de Dados – LGPD

Foi proposto o adiamento do início da vigência da Lei nº 13.709/2018, usualmente denominada de Lei Geral de Proteção de Dados – LGPD, que regula as atividades de tratamento de dados pessoais e que também altera disposições do Marco Civil da Internet.

Diante da proposição de diversas emendas em relação a intenção inicial de prorrogação da vigência da LGPD por mais 18 meses, foi aprovado pelo Senado Federal o adiamento até 1º de janeiro de 2021, com a ressalva de que os dispositivos relativos às sanções só entrarão em vigor em agosto de 2021.

Este ponto também já é alvo de fortes debates, existindo grupos favoráveis e desfavoráveis à manutenção desse trecho do texto.

Você pode saber mais sobre a Lei de Proteção de Dados nos artigos já publicados no escritório:

Devolução de produto ou serviço adquirido por entrega domiciliar (delivery)

Outra disposição polêmica versa sobre a restrição, até o dia 30 de outubro de 2020, do direito de devolução de mercadorias compradaspela via eletrônica.

Nos termos propostos, seria suspensa a disposição contida no Código de Defesa do Consumidor, que garante ao cliente o direito de desistir do contrato, no prazo de 7 dias a contar de sua assinatura ou do ato de recebimento do produto ou serviço, sempre que a contratação de fornecimento de produtos e serviços ocorrer fora do estabelecimento comercial, especialmente via internet ou telefone. Ao exercitar essa faculdade legal, atualmente o consumidor arrependido poderá receber de volta os valores eventualmente pagos, com a devida correção monetária.

Importa ressalvar que o texto original do PL não fazia distinção em relação às mercadorias objeto de tal disposição, contudo, o texto aprovado no Senado restringiu a suspensão do direito de devolução aos produtos perecíveis ou de consumo imediato e medicamentos.

Restrição de acesso aos condomínios

Com exceção de acesso para atendimento médico, obras de natureza estrutural e realização de benfeitorias necessárias, o Projeto de Lei 1179/2020 permite ao síndico restringir acesso de pessoas às áreas comuns, podendo, ainda, proibir a realização de reuniões, festividades, uso dos abrigos de veículos por terceiros, inclusive nas áreas de propriedade exclusiva dos condôminos.

Tal proposição foi aprovada perante o Senado Federal, sem emendas. Contudo, assim como os demais dispositivos, poderá ser modificada após apreciação da Câmara dos Deputados.

Assembleias em condomínios e sociedades

O Projeto de Lei permite a realização de assembleias de empresas, condomínios e outras pessoas jurídicas na modalidade virtual, inclusive para fins de votação.

Importante lembrar que as assembleias gerais ordinárias das sociedades empresárias, as quais devem ser realizadas anualmente até o final do mês de abril, já tiveram o prazo legal adiado por medida provisória.

Sobre o tema, foi aprovada emenda no Senado Federal para acrescer ao texto original do PL que, em relação às assembleias condominiais, caso não seja possível a realização do ato assemblear por meios virtuais, os mandatos de síndico vencidos a partir de 20 de março de 2020 ficam prorrogados até 30 de outubro de 2020.

Prisão por dívidas alimentícias

Foi, ainda, aprovada no Senado a previsão de que, até 30 de outubro de 2020, a prisão civil por dívida alimentícia deverá ser cumprida exclusivamente sob a modalidade domiciliar, sem prejuízo da exigibilidade das respectivas obrigações.

Práticas anticoncorrenciais.

Além de todo o exposto, o Projeto de Lei permite que algumas sanções por práticas anticoncorrenciais fiquem suspensas, a fim de atender às necessidades da escassez de serviços e produtos. Assim, cria-se um parâmetro para que, no futuro, certas práticas não sejam consideradas como ilícitas em razão da natureza crítica do período da pandemia.

No texto original, a referida proposição foi tratada de forma ampla e genérica, contudo, foram aprovadas emendas elaboradas para especificar os ilícitos concorrenciais sujeitos à suspensão, determinando-se, ao mesmo tempo, que o julgamento pelo Cade (Conselho Administrativo de Defesa Econômica) leve em conta as circunstâncias extraordinárias causadas pela pandemia.

Assim, o texto substitutivo aprovado no Senado dispõe que os atos de concentração econômica ocorridos durante o período de suspensão de sanções poderão ser objeto de análise posterior pelo Cade; e que as infrações concorrenciais não suspensas deverão ser analisadas pelo Cade considerando os impactos decorrentes da pandemia.

Quais são as expectativas sobre a tramitação desse Projeto de Lei?

Mesmo tramitando em regime de urgência, ainda se revela incerta a promulgação ou não do Projeto de Lei 1179/2020, cujo teor poderá vir a sofrer alterações a partir dos debates que surgirem sobre os pontos que dispõem essa proposição legislativa.

Fato é, porém, que além do PL 1179/2020, existem outros Projetos com o objetivo de propor soluções jurídicas para o atual momento de crise econômica e de pandemia. Exemplo disso, são aqueles que visam à alteração da Lei de Recuperação Judicial e de Falência, bem como da própria Lei Geral de Proteção de Dados.

Ainda que não tenha sido aprovado, as medidas propostas no PL podem ser utilizadas como parâmetros para negociações extrajudiciais, em situações de urgência nas quais não se possa aguardar a sua aprovação.

O que se frisa, no entanto, é que principalmente nos momentos de instabilidade e em meio a essas incertezas, revela-se fundamental que todos, empresas e cidadãos, se encontrem devidamente assessorados juridicamente para os manter atualizados sobre o que se passa no direito e que pode vir a lhes afetar.

Atento às modificações legislativas e à interpretação dos tribunais nos envolvendo os impactos decorrentes da pandemia do COVID-29, os profissionais do Corrêa Ferreira Advogados estão à disposição para maiores esclarecimentos e orientação sobre como enfrentar as situações impostas ao seu negócio.


A LGPD vai pegar?

Nas primeiras aulas do curso de Direito os alunos aprendem que os sistemas jurídicos podem ser divididos em Common Law e Civil Law. O primeiro, mais comum nos países de língua inglesa, é baseado em precedentes criados a partir de casos julgados. O segundo, mais frequente em países latinos, possui códigos escritos e expressos como base. Dada a lição, o aluno conclui rapidamente que o Brasil se enquadra no sistema da Civil Law, estabelecendo tal informação como premissa para seus estudos.

No entanto, apenas com um pouco de prática, logo se percebe que o sistema jurídico brasileiro, apesar de possuir códigos e leis expressas, é influenciado pelos casos práticos e pela dinamicidade das relações sociais.

É nesse contexto que frequentemente escutamos, sem muita perplexidade, o questionamento se a ‘nova lei vai pegar’. Isso porque o Brasil, apesar de se inserir no sistema da Civil Law, coleciona diversos exemplos de leis que aparentemente caem no esquecimento de cidadãos e autoridades, não tendo aplicação prática. A Lei Geral de Proteção de Dados (Lei n.º 13.709), para muitos, corre o risco de se tornar um desses exemplos. No artigo abaixo propomos uma discussão sobre o tema.

Sanção da LGPD

A nova regulamentação de proteção de dados foi publicada em agosto de 2018, introduzindo no país diversas normas a respeito da política de tratamento de dados pessoais, estabelecendo um período de dois anos de adaptação, passando a vigorar em agosto de 2020. Assim, às vésperas da data para aplicação da LGPD, muitos dos destinatários da lei e descrentes de sua aplicação, ainda nos perguntam se ‘a lei vai pegar’.

Especificamente em relação a LGPD, nossa resposta tem sido positiva, não apenas pelo fato da lei ser um verdadeiro avanço na política de dados no Brasil, mas também por ser uma valorosa ferramenta de fortalecimento das empresas brasileiras no mercado internacional.

Desenvolvimento econômico

A LGPD, como amplamente divulgada, trata-se de uma verdadeira cópia da General Protection Data Regulation (GPDR) e foi publicada justamente para viabilizar acordos comerciais entre Mercosul e União Europeia, razão pela qual atentar-se a política de proteção de dados é essencial para o desenvolvimento da economia brasileira.

Além disso, independentemente da lei ‘pegar’ ou não, a sociedade brasileira tem se atentado cada vez mais para o tema da proteção de dados. Exemplo disso é o destaque que o Superior Tribunal de Justiça tem dado ao julgamento do Recurso Especial nº 1.758.799, divulgado no Informativo de Jurisprudência nº 661, de dezembro de 2019, em que se firmou o entendimento de que a falta de informação sobre disponibilização de informações pessoais em bancos de dados do consumidor configura dano moral.

No caso, o consumidor mineiro ajuizou ação contra instituição financeira pleiteando indenização por comercialização de suas informações pessoais, ao que o Tribunal de Justiça entendeu ser pertinente. Na sequência, na análise recursal, o Superior Tribunal de Justiça indicou que a comercialização de dados pessoais violam normas do Código de Defesa do Consumidor e da Lei n.º 12.414/2011, que disciplina a formação e consulta de bancos de dados.

De igual forma, existem diversos outros casos em que os indivíduos têm recorrido ao judiciário para garantir o direito fundamental à privacidade, obtendo êxito a partir da consolidação do entendimento de que os dados pessoais são elementos a serem protegidos.

Importância da Proteção de Dados

Assim, é evidente que o tema da proteção de dados pessoais vem ganhando espaço e será, cada vez mais, um fator de destaque para as empresas que se atentarem para o tema e que tenham atuação no mercado externo ou pretendem expandir para tal atividade.

Portanto, se a LGPD com o texto atualmente publicado vai de fato ‘pegar’, é evidente que somente a prática poderá responder com precisão. Porém, hoje, já é inegável a necessidade das empresas se atentarem para a segurança dos dados pessoais em seu poder e a importância de dar um tratamento jurídico adequado para tais informações evitando assim, futuras ações judiciais, seja no âmbito cível, com o pagamento de indenizações, quanto em processos de vazamentos de dados e diversas sanções administrativas vinculadas à nova lei.

Quem é o encarregado ou DPO, na LGPD?

A cada dia aproxima-se a data para a Lei Geral de Proteção de Dados (Lei 13.709/2018) entrar em vigência e muitas dúvidas a respeito de sua implementação ainda precisam ser respondidas. Dentre esses temas, se destaca as atribuições e especificidades da figura do Encarregado, também já designado de DPO (Data Protection Officer), em razão da influência europeia na lei brasileira.

A legislação brasileira define o Encarregado como a “pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos danos e a Autoridade Nacional de Proteção de Dados (ANPD)”, conforme art. 5, inciso VIII, da LGPD.

Assim, de imediato percebe-se a importância dada ao Encarregado na política de proteção de dados, responsável pela integração segura de todos os agentes envolvidos no tratamento de dados.

Qual a diferença entre encarregado e controlador

O Controlador – quem pratica qualquer tipo de tratamento de dados – deverá indicar o Encarregado, que poderá ser uma pessoa natural ou mesmo uma empresa que se dedique à essa atividade.

Inicialmente, na redação original da lei, haveria a exigência de que o Encarregado fosse uma pessoa natural, não havendo a possibilidade de se indicar qualquer pessoa jurídica para exercer as atribuições de encarregado. No entanto, após as modificações legislativas, consolidou-se o texto que retirava da redação o termo ‘natural’ do inciso VIII do art. 5º da LGPD, indicando a autorização para que pessoas jurídicas assumam o papel de Encarregado.

A ampliação da natureza jurídica do Encarregado é importante pois, tendo em vista a obrigatoriedade da indicação por todas as pessoas que realizem tratamento de dados pessoais (art. 41 da LGPD), faz-se necessário a ampliação das possibilidade de atuação dessa nova figura do direito brasileiro, contribuindo inclusive para o sucesso da política de dados no país.

Atividades atribuídas ao encarregado

As atividades do Encarregado encontram-se expressas no art. 41 da LGPD, consistindo em:

  • aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
  • receber comunicações da autoridade nacional e adotar providências;
  • orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
  • executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Com a legislação atual, fica claro que apesar de descrita a missão do Encarregado, as atribuições e o seu modo de atuação deverão ser tratados por meio de regulamentação específica, inclusive a serem editados pela Autoridade Nacional de Proteção de Dados (artigos 41, §3º e 55-J da LGPD).

Uma vez indicado, a lei prevê que as informações de contato do Encarregado deverão ser divulgadas pelo Controlador, demonstrando mais uma vez a importância de tal figura na dinâmica de tratamento de dados.

Assim, a leitura do texto da lei nos permite inferir que as atividades do Encarregado envolverá íntima relação com o Controlador, prolongando-se no tempo, tendo em vista o constante acompanhamento e monitoramento das atividades de tratamento de dados.

Quais são os requisitos técnicos de um encarregado

Outro aspecto que tem gerado grande especulação é a respeito dos requisitos técnicos necessários ao Encarregado. No cenário europeu não foram impostas formações de áreas específicas, indicando-se tão somente que deverá ser sujeito conhecedor da legislação de proteção de dados e capaz de desempenhar as atividades impostas no regulamento.

No Brasil, o texto original da lei previa a necessidade de conhecimento jurídico regulatório, porém tal disposição foi excluída sob a justificativa de que tal requisito seria contrário ao interesse público restringindo o livre exercício profissional, de modo que, atualmente, não há exigências técnicas o Encarregado.

De toda forma, considerando as atribuições do cargo, espera-se que o Encarregado detenha conhecimentos jurídicos a respeito da legislação de proteção de dados, o que não se limita somente à LGPD, bem como conhecimentos relativos à segurança de informação. Além disso, é importante que o Encarregado também tenha conhecimentos de governança e boa capacidade de integração de pessoas, uma vez que a proteção de dados envolve diversas áreas de uma empresa, como por exemplo, área jurídica, Tecnologia da Informação (TI), Financeiro, Marketing, Comercial e Recursos Humanos.

Isso porque, o Encarregado será a principal ferramenta do controlador para garantir o efetivo cumprimento da LGPD, por meio de uma política de proteção de dados consistente, afastando eventuais responsabilizações e sanções por violação de dados pessoais.

Assim, como se percebe, a atividade do Encarregado trata-se de área nova, extremamente importante e em desenvolvimento no mercado brasileiro, essencial à execução da política de proteção de dados, cujo papel deverá ser desempenhado por profissionais com grande capacidade de adaptação, integração e conhecimento técnico.

Sua empresa está preparada para a LGPD?

A Lei Geral de Proteção dos Dados (LGPD) entrará em vigor em agosto de 2020, e vai influenciar qualquer organização que coleta ou processa dados do Brasil ou de residentes brasileiros.

Daqui até lá faltam poucos meses. Preparamos, em parceria com a BHS, uma lista rápida das questões sobre as quais você deve refletir para verificar até que ponto seu negócio está se moldando à LGPD.  Vamos lá?

1. A gerência entende a importância da LGPD?

A LGPD afeta e depende de todos na organização, motivo pelo qual a gestão precisa levá-la a sério e se responsabilizar pela conscientização e educação de todas as camadas da empresa.

A LGPD pode custar até 2% do faturamento ou R$50 milhões, a depender da infração. Além da multa, os danos causados à imagem e reputação do negócio podem ser irreversíveis, provocando até o encerramento das atividades.

2. Você sabe onde estão seus dados hoje?

O regulamento cobre todos os dados existentes previamente, bem como novos dados coletados depois que ele entrar em vigor. Então, é melhor descobrir onde todos os seus dados atuais estão hospedados, os tipos que estão sendo mantidos e os processos de acesso, armazenamento seguro, backup e controle.

Além disso, é preciso se perguntar se todos os dados armazenados pela empresa hoje são realmente necessários. É mais fácil cuidar e segurar volumes menores de dados.

3. Você tem um processo para fornecer os dados que forem pedidos?

A LGPD oferece aos usuários (titulares) o direito de exigir que os controladores (as organizações que os detêm) forneçam seus dados de volta, em formato legível por máquina. Você está pronto para responder a solicitações, coletar os dados de todas as fontes sobre os indivíduos e devolvê-los?

A nossa dica é digitalizar todos os dados existentes (como fichas de cadastro, por exemplo) e concentrá-los em um único banco de dados.

4. Você tem um processo para excluir dados se exigido?

Os titulares de dados podem exigir que seus dados sejam excluídos do seu armazenamento e o tratamento seja interrompido. Sua empresa é capaz de excluir e comprovar a exclusão dos dados tratados hoje?

Assim como no item anterior, facilita muito se todos os dados estiverem armazenados em um mesmo local.

5. Você entende as regras de consentimento?

Todos os dados armazenados e tratados pelo controlador devem ter sido coletados com consentimento expresso do usuário. Mesmo os dados coletados há muito tempo devem ter essa autorização atualizada.

Em uma auditoria, você precisa ser capaz de responder onde conseguiu os dados e como o sujeito dos dados concordou com a coleta.

6. Você sabe quais terceirizados têm acesso aos dados?

Supondo que seja um controlador de dados, você é responsável pela manutenção segura desses, independentemente de quem estiver lidando com eles. Você tem certeza de suas políticas, procedimentos e tecnologias para manter essas informações seguras?

É importante identificar os pontos de vulnerabilidade nos seus processos e, assim, definir as prioridades na hora de reforçar a segurança.

7. Tem certeza de que pode detectar violações de dados?

Você não quer ser informado de um incidente de perda de dados pelos próprios usuários ou pela autoridade de proteção. Você tem tecnologia que possa detectar violações ocorridas para investigar como os dados foram perdidos (ou alterados)?

Algumas ferramentas, como o Office 365, oferecem registro completo de usuários, que identifica quando e por quem alterações e exclusões foram feitas nos documentos.

8. Todos os processos e fluxos de dados foram documentados?

Se ocorrer uma violação ou o regulador investigar a organização, é preciso ter documentos para explicar os fluxos de dados completos. Você está pronto para responder a essas perguntas? O nível das multas levará em consideração os processos, a tecnologia e a documentação que descrevem os sistemas e o fluxo de dados.

9. Seus contratos já foram revistos?

Quando se fala em Lei Geral de Proteção de Dados, também é preciso prestar atenção em parceiros, funcionários, clientes e fornecedores. Por isso, a revisão dos contratos – inclusive os de trabalho – deve ser feita de forma a resguardar a empresa em caso de infrações de terceiros que tenham vínculo com o seu negócio.

Essas são as principais questões para refletir até que a LGPD entre em vigor. Se elas foram fáceis de responder, ótimo! Você está no caminho certo. Se não, é hora de repensar a forma como você gerencia e armazena dados pessoais.

É importante que seja realizado um planejamento para a completa adequação, evitando assim notificações e multas. A assessoria jurídica e na área de Tecnologia da Informação (TI) são fundamentais nesse processo.

Esse conteúdo foi produzido por especialistas em TI da BHS.

Quais os impactos das sanções administrativas com a LGPD

A Lei Geral de Proteção de Dados (LGPD – Lei 13.709/2018) que entrará em vigor a partir de agosto de 2020 tem causado temor a empresários e profissionais autônomos que utilizam de dados pessoais em suas atividades laborais, principalmente no que tange as sanções administrativas em decorrência de um tratamento inadequado destes dados. De acordo com dados divulgados pelo Serasa, cerca de 85% das empresas não estão prontas para a LGPD.

A nova legislação tem como objetivo a proteção dos dados pessoais de clientes, fornecedores, colaboradores, prestadores de serviços e outros possíveis cadastros físicos e virtuais, para que não sejam extraídos e distribuídos sem a prévia autorização de seus titulares. São regulamentos precisos sobre os processos de coleta, armazenamento e compartilhamento.

No presente artigo faremos uma enumeração das sanções definidas na nova legislação, bem como exemplificar os principais pontos e intenções do legislador ao materializá-las no ordenamento jurídico pátrio. Acompanhe!

SANÇÕES ADMINISTRATIVAS

As sanções estão previstas no Artigo 52 da Lei, aplicáveis pela Autoridade Nacional de Proteção de Dados (ANPD), órgão da administração direta federal responsável pela edição e, principalmente, a fiscalização das normas e procedimentos sobre a transferência de dados no país. A ANPD é composta por um Conselho Diretor, um Conselho Nacional de proteção de Dados Pessoais e da Privacidade, Corregedoria, Ouvidoria, um órgão de assessoramento jurídico próprio e unidades administrativas e unidades especializadas necessárias à aplicação da LGPD.

I – advertência, com indicação de prazo para adoção de medidas corretivas;

É uma penalidade que “ipsis litteris” copia o artigo 12, inciso I do Marco Civil da Internet (Lei 12.965/2014), ou seja, sem grandes inovações para o ordenamento jurídico brasileiro.

II – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;

A aplicação da penalidade pecuniária de multa simples levanta questionamentos sociais relevantes, vez que possuí um impacto patrimonial, tendo como principais parâmetros valor: até 2%, respeitado o limite de R$50 milhões; a base de cálculo, por meio do faturamento do último exercício, excluídos os tributos; o destinatário: pessoa jurídica de direito privado, grupo ou conglomerado no Brasil, e por último a recorrência da infração.

Cabe destacar que ainda que se queira entender fragilizado o poder de polícia da ANPD em face da instrumentalidade pecuniária mais simples que a de outras regulações, há que se considerar o aspecto reputacional da proteção de dados, além da irradicação de responsabilidade civil na cadeia de tratamento de dados pessoais, dessa maneira, houve preocupação em limitar o poder arrecadatório da ANPD, de maneira a não se criar um estímulo a chamada “indústria da multa”.

III – multa diária, observado o limite total a que se refere o inciso II;

Possui uma natureza distinta da multa simples definida no inciso II, pois advém de descumprimento de cominação legal ou cominação proferida por autoridade pública, vez que é um instrumento coercitivo para cumprimento de uma obrigação imposta.

IV – publicização da infração após devidamente apurada e confirmada a sua ocorrência;

Penalidade que possuí um efeito de reputação do agente, pois importa na sua exposição pública, por imposição da ANPD, após processo administrativo, onde são apuradas e confirmadas a(s) sua(s) conduta(s) infratora(s).

Podemos destacar que o responsável pela publicização será o próprio agente de tratamento condenado administrativamente, devendo arcar com tais custos, o que pode agravar a pena, tendo em vista os altos custos para se publicar em jornais e mídias televisivas, penalidade que caberá à ANPD delimitar melhor os seus contornos.

V – bloqueio dos dados pessoais a que se refere a infração até a sua regularização;

O bloqueio a que se refere o inciso equivale a uma limitação temporária do tratamento de dados até que o agente regularize determinada situação.

VI – eliminação dos dados pessoais a que se refere a infração;

Equivale-se ao apagamento definitivo dos dados, devendo, tão somente, assegurar a plenitude desse tratamento, de maneira a que não se recuperem os dados por métodos e tecnologias capazes de recuperar os dados excluídos.

VII; VIII; IX – (VETADOS).

X – suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;

É considerada uma penalidade atípica, pois incide sobre a base de dados, não sobre a atividade de tratamento ou sobre a pessoa do agente de tratamento.

XI – suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;

É uma penalidade que possibilita uma atuação extremamente relevante para o Estado fiscalizador, vez que em sede cautelar, é apta a estancar violações graves, respeitado o devido processo legal-administrativo.

XII – proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

No mesmo sentido da penalidade prevista no inciso anterior, é um importante instrumento para o Estado fiscalizador, principalmente em um sistema punitivo ideal, cujo objetivo é assegurar “o máximo grau de racionalidade e confiabilidade do juízo e, portanto, de limitação do poder punitivo e de tutela da pessoa contra a arbitrariedade”.

CRITÉRIOS PARA APLICAÇÃO DAS SANÇÕES

Ante todas as sanções expostas, cumpre destacar a forma e os critérios para que elas sejam aplicadas pela ANPD, conforme se encontra definido no parágrafo primeiro do artigo 52, conforme abaixo:

§ 1º As sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados os seguintes parâmetros e critérios:

I – a gravidade e a natureza das infrações e dos direitos pessoais afetados;

II – a boa-fé do infrator;

III – a vantagem auferida ou pretendida pelo infrator;

IV – a condição econômica do infrator;

V – a reincidência;

VI – o grau do dano;

VII – a cooperação do infrator;

VIII – a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com o disposto no inciso II do § 2º do art. 48 desta Lei;

IX – a adoção de política de boas práticas e governança;

X – a pronta adoção de medidas corretivas; e

XI – a proporcionalidade entre a gravidade da falta e a intensidade da sanção.

Desta forma, o que se percebe após análise das sanções administrativas acima expostas, é de que a LGPD não é exclusivamente uma lei voltada à proteção dos indivíduos titulares de dados pessoais, mas ao estímulo à inovação e às liberdades econômicas, o que fica claro após a leitura dos incisos do parágrafo 1º do artigo 52, vez que estimulam a adoção de programas de governança de privacidade, cultura corporativa, boas práticas em privacidade e proteção de dados, além de ser uma regulação, sugere como forma premiativa, que o bom comportamento também significa adoção de métodos preventivos e corretivos de problemas.

Importante instrumento materializado na Lei é o que se encontra disposto no artigo 53, que impõe à ANPD a obrigação de definir, por meio de regulamento próprio sobre as sanções administrativas, as metodologias que orientarão o cálculo do valor-base das sanções de multa, que deverá ser objeto de consulta pública, uma vez que racionaliza e torna transparente o processo regulamentador que dará ensejo à edição de normas complementares sobre a fixação de multas.

Art. 53. A autoridade nacional definirá, por meio de regulamento próprio sobre sanções administrativas a infrações a esta Lei, que deverá ser objeto de consulta pública, as metodologias que orientarão o cálculo do valor-base das sanções de multa.

A adequação à nova Legislação não será tarefa fácil, porém a falta dela poderá importar em prejuízos incomensuráveis. Ponderando-se que o compliance tem objetivos tanto preventivos, quanto reativos, tais danos podem ser consideravelmente reduzidos.

Portanto, ante todo o exposto acima, percebe-se que o propósito da nova legislação não é punitivo, mas pedagógico, sendo esse seu direcionamento maior, o que fica claro quando da análise dos seus diversos critérios atenuantes e agravantes, norteadores da atividade sancionatória. No entanto, devem os agentes que utilizam o tratamento de dados nas suas atividades, adequar os seus processos internos e criar a cultura de gestão de dados. Para a adequação dos processos internos das empresas à LGPD é necessário o comprometimento e empenho de todos os colaboradores. A área jurídica e de tecnologia da informação (TI) são fundamentais para a implementação eficaz de procedimentos que visam combater essa adversidade e atenuar os danos advindos de um vazamento de dados.