No dia 14 de agosto foi sancionada pela Presidência da República a Lei 13.709 de 2018, ou a lei Geral de Proteção de Dados. A Lei vem como complemento ao Marco Civil da Internet e serve para disciplinar o tratamento e uso de dados pessoais.
Aproveitamos para resumir os principais pontos da Lei e destacar questões relevantes sobre o texto aprovado.
Consentimento
Uma das principais obrigações previstas na Lei é a solicitação de consentimento do usuário sobre o uso de suas informações pessoais. De acordo com o texto, todas as pessoas e empresas que tratam e armazenam dados pessoais devem requerer consentimento do usuário através de uma comunicação transparente, clara e objetiva sobre quais dados serão utilizados e para que fins serão utilizados. Termos e Condições gerais e extensos, como os utilizados por diversos sites hoje em dia, não serão considerados válidos.
Existem, porém, algumas exceções de uso de dados pessoais sem o consentimento expresso do usuário, como em hipóteses de cumprimento de obrigação legal ou regulatória, obrigações contratuais ou para a tutela da saúde. Essas exceções suscitam algumas dúvidas: qualquer tipo de obrigação contratual autoriza o uso de dados pessoais sem consentimento? Leis e regulamentações anteriores à Lei terão superveniência e, consequentemente, autorizam o uso de dados pessoais sem consentimento?
Direitos do Titular
Outro ponto extremamente relevante para usuários e empresas que lidam com dados pessoais são os direitos garantidos ao titular. São direitos do titular: (a) a confirmação de existência de tratamento; (b) o acesso aos dados; (c) a correção de dados incompletos, inexatos ou desatualizados; (d) a anonimização; (e) bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a Lei; (f) a eliminação dos dados pessoais tratados com o consentimento do titular; (g) a informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados; e (h) a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetam seus interesses.
Dentre os diversos direitos previstos na Lei, existem três direitos que podem impactar significativamente as atividades de empresas que lidam com dados:
– o direito de esquecimento;
– o direito ao dados utilizados e armazenados; e
– o direito à informação sobre o compartilhamento de dados.
Estes direitos determinam que os usuários podem exigir a exclusão de todos os registros relativos aos seus dados pessoais que estejam armazenados na base de dados da empresa, inclusive em seus servidores, bem como requerer relatório completo sobre quais informações e dados pessoais de sua propriedade estão sendo utilizados e com quais empresas estes dados estão sendo compartilhados. Vale ressaltar que a empresa tem um prazo de 15 dias para entregar tal relatório.
Apesar de muitos considerarem a previsão de direitos do titular um avanço importante para a indústria, é inegável que estes gerarão custos para empresas que operam com dados. As empresas deverão criar processos e mecanismos para que consigam satisfazer os direitos do titular. Em alguns casos, é possível que seja necessária a contratação de profissionais para lidar especificamente com este tipo de demanda.
Penalidades
Na hipótese de uma violação aos direitos e obrigações previstos pela Lei podem gerar dois tipos de penalidade: (i) multa simples ou diária no valor de 2% do faturamento da pessoa jurídica, grupo ou conglomerado no Brasil, tendo como base seu último exercício fiscal, excluídos os tributos, limitada em R$ 50 milhões por infração; e/ou (ii) proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Apesar da Lei prever que as penalidades serão aplicadas por evento, não há um consenso sobre o que pode ser considerado um “evento”. Na hipótese de um vazamento de dados de 10 mil pessoas, seria o “evento” o vazamento coletivo ou o vazamento de cada dado, uma vez que as obrigações são entre a empresa e cada usuário? Esse tipo de incerteza fragiliza a Lei e sua aplicação.
Vetos
A criação da Autoridade Nacional de Proteção de Dados (ANPD) foi vetada, pois segundo a Presidência da República, havia vício de iniciativa na criação da Autoridade, uma vez que apenas o Executivo pode criar órgãos que imponham restrições e obrigações orçamentárias ao Governo.
Especulou-se que a competência para fiscalizar a proteção de dados seria repassada à ABIN (Agência Brasileira de Inteligência) ou à Polícia Federal. Essas possibilidades preocupam profissionais do setor, que entendem a necessidade de uma autoridade independente e exclusiva. Entretanto, foi sinalizado pela Presidência que um novo projeto, disciplinando a Autoridade Nacional, será enviada ao Congresso, sendo provável que a ANPD seja criada sob a estrutura do Ministério da Justiça.
Ainda, entre outros, foi vetado o Artigo 28 do PL 53/2018, que previa que qualquer compartilhamento de dados pessoais entre órgãos do Poder Público deveria observar o princípio da publicidade. Assim, a Presidência deixa passar uma oportunidade de tornar o Governo Federal, e o Poder Público em geral, mais transparente e confiável em relação ao uso de dados pessoais dos cidadãos.
Desafios e Próximos Passos
Mesmo diante de um prazo de 18 meses para que a Lei passe a vigorar plenamente, é preciso que empresas que lidam com dados pessoais comecem a se organizar diante das novas obrigações e direitos previstos pelo texto legal. A Lei gera diversas demandas para empresa que trabalham com o tratamento de dados. Assegurar que o titular possa livremente e devidamente exercer seus direitos incorrerá em um ônus financeiro e operacional para diversas empresas e startup, possivelmente culminando na estruturação de áreas para lidar com demandas específicas de dados. Consideramos que a primeira tarefa a ser executada no processo de adequação às exigências da Lei é mapear os processos internos de sua empresa, para entender quais e como dados são utilizados, para depois organizá-los.
Ao conversar com membros de empresas que lidam com dados pessoais, percebe-se o sentimento de satisfação em relação à existência de uma regulação sobre o tratamento e uso de dados pessoais, mesmo que esta não seja ideal e tenha suas falhas. É um bom primeiro passo para que possamos nos tornar uma sociedade mais consciente em relação ao uso e compartilhamento de nossos dados pessoais, mas precisamos evoluir para que não haja dúvidas sobre aspectos críticos da Lei, bem como não haja brechas para o mal uso de dados pessoais.
Startups e empresas de tecnologia serão protagonistas deste movimento e a nós cabe a responsabilidade de manter um sistema íntegro, ético e sólido em relação ao uso de dados pessoais. Privacidade e transparência andam lado-a-lado e quanto maior a clareza sobre quais dados estão sendo utilizados, maior será a privacidade e a autonomia do titular sobre seus dados pessoais.
*Formado em Direito pela Fundação Getulio Vargas (FGV), João Mendes de Oliveira atuou na área de Direito Societário e Venture Capital no Veirano Advogados, foi Diretor Executivo do grupo de investimento anjo GVAngels e, desde 2017, é Head of Legal da IDwall, RegTech brasileira com expertise em tecnologias no combate a fraudes de identidade.