Segundo o artigo 7º, inciso IX, da LGPD, o legítimo interesse pode servir como base legal para o tratamento de dados pessoais, desde que não se sobreponha aos direitos e liberdades fundamentais do titular. Vale lembrar que esta base não é aplicável a dados pessoais sensíveis, como dados de saúde, que requerem outras bases legais, como o consentimento explícito do titular ou a necessidade de tutela da saúde.

Para que um interesse seja considerado legítimo, deve atender a três condições principais:

a) compatibilidade jurídica: o interesse deve estar em consonância com os princípios, normas jurídicas e direitos fundamentais;

b) base em situações reais: o interesse precisa estar baseado em situações reais e específicas, e não em cenários abstratos ou especulativos;

c) finalidades legítimas: o tratamento deve ter um propósito claro e bem definido, descrito de forma precisa, para que se possa equilibrar os interesses do controlador com os direitos dos titulares.

A LGPD, em seu artigo 10, oferece exemplos de finalidades legítimas, como apoiar e promover atividades do controlador e proteger o titular no exercício de seus direitos.

A ANPD, por meio do Guia Orientativo sobre Hipóteses Legais de Tratamento de Dados Pessoais, em especial o legítimo interesse, publicado em fevereiro de 2024, recomenda o uso do Teste de Balanceamento para avaliar o legítimo interesse. Embora não seja obrigatório, esse teste é uma ferramenta valiosa para demonstrar conformidade com a LGPD. O teste consiste nas seguintes fases:

Fase 1. Finalidade: avaliação da natureza dos dados, da legitimidade do interesse (seja do controlador ou de terceiro), da finalidade do tratamento e da situação concreta que o justifica.

Fase 2. Necessidade: análise da efetiva necessidade do tratamento para atingir a finalidade proposta e se existem alternativas menos intrusivas para alcançar o mesmo objetivo.

Fase 3. Balanceamento e Salvaguardas: análise dos riscos e impactos do tratamento para os titulares, avaliação da prevalência dos direitos e liberdades fundamentais dos titulares sobre os interesses do controlador e da necessidade de implementação de medidas de segurança (salvaguardas).

Documentar o Teste de Balanceamento oferece vantagens significativas, como comprovar a diligência do controlador, facilitar a verificação pela ANPD e servir como prova em casos de incidentes de segurança ou reclamações. Mesmo que a ANPD não preveja sanções específicas pela ausência do Teste, a LGPD prevê penalidades para o tratamento inadequado dos dados.

Complementarmente, a Resolução CD/ANPD nº 18, de 16 de julho de 2024 (Resolução nº 18), estabeleceu normas para a atuação do Encarregado pelo tratamento de dados pessoais. A indicação do Encarregado deve ser formalizada por documento escrito, datado e assinado, e sua identidade e informações de contato devem ser divulgadas publicamente. Em caso de ausência de sítio eletrônico do Controlador, outras formas de comunicação devem ser estabelecidas.

O Encarregado é considerado um elo fundamental entre o controlador, os titulares dos dados e a ANPD. Suas responsabilidades incluem:

a) ser um canal de comunicação, esclarecendo dúvidas, recebendo solicitações e garantindo a conformidade com a LGPD;

b) orientar os funcionários e contratados do controlador sobre as práticas de proteção de dados;

c) dar assistência ao controlador na elaboração de Relatórios de Impacto à Proteção de Dados Pessoais, na implementação de medidas de segurança e na definição da política de proteção de dados;

d) adotar medidas para atender às solicitações da ANPD e às reclamações dos titulares.

Apesar do papel ativo do encarregado, a responsabilidade integral pela conformidade com a LGPD, incluindo a realização e documentação do Teste de Balanceamento, é do Controlador.

Em resumo, a aplicação do legítimo interesse como base legal para o tratamento de dados exige uma avaliação cuidadosa dos impactos e das expectativas envolvidas. Utilizar o Teste de Balanceamento, conforme recomendado pela ANPD, e seguir as diretrizes da Resolução nº 18 são essenciais para garantir que o tratamento de dados esteja alinhado com os princípios da LGPD. Dessa forma, a organização fortalece a proteção dos dados pessoais e promove uma cultura de responsabilidade e transparência.

O post Maximizando a conformidade com a LGPD: o papel do legítimo interesse e do encarregado na proteção de dados pessoais apareceu primeiro em Teixeira Fortes Advogados Associados.

A LGPD define dados pessoais como informações relacionadas a uma pessoa natural identificada ou identificável, distinguindo dados pessoais comuns e sensíveis, que abrangem categorias como origem racial ou étnica, convicção religiosa, opinião política, entre outros. Os dez princípios fundamentais delineados pela LGPD, incluindo finalidade, necessidade e transparência, visam garantir um tratamento lícito, legítimo e proporcional dos dados.

No escopo dessa regulação, a ANPD desempenha um papel crucial, sendo responsável pela supervisão e orientação dos agentes de tratamento. A agência possui autoridade para aplicar diversas sanções administrativas, como advertências, multas e até a suspensão das atividades relacionadas ao tratamento de dados. Sua atuação visa regulamentar a aplicação dos artigos 52 e 53 da LGPD, incluindo a definição dos critérios e parâmetros para as sanções pecuniárias e não pecuniárias

A regulamentação da ANPD. A regulamentação da ANPD é o conjunto de normas e procedimentos que a autoridade nacional de proteção de dados estabelece para orientar, fiscalizar e sancionar os agentes de tratamento de dados pessoais, em conformidade com a LGPD. A ANPD tem competência para editar resoluções, portarias, enunciados e outros atos normativos, bem como para instaurar processos administrativos sancionadores, nos termos da lei e do seu regimento interno.

A ANPD iniciou suas atividades em novembro de 2020, com a nomeação dos seus cinco diretores, e desde então vem publicando diversas regulamentações, que abordam temas como o processo de fiscalização, a aplicação de sanções, a dispensa do relatório de impacto, o tratamento de dados de crianças e adolescentes, a política de comunicação social, entre outros. A ANPD também tem realizado consultas e audiências públicas, para ouvir as demandas e as sugestões dos agentes de tratamento e da sociedade em geral, sobre os assuntos relacionados à proteção de dados pessoais, e busca harmonizar as diferentes interpretações e aplicações da LGPD, tanto pelos agentes de tratamento, quanto pelo poder judiciário, evitando conflitos e insegurança jurídica.

A regulamentação da ANPD é um processo dinâmico e contínuo, que se adapta às mudanças e aos desafios impostos pelo cenário atual de tratamento de dados pessoais, que envolve questões complexas e sensíveis, como a inteligência artificial, a biometria, a internet das coisas, o open banking, entre outras.

Para atingir esses objetivos, a ANPD estabeleceu um regulamento que define a dosimetria para o cálculo do valor-base das multas, promovendo alterações nos artigos 32, 55 e 62 da Resolução nº 1 CD/ANPD de 28 de outubro de 2021, que aprova o Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador. Essas modificações visam aprimorar o processo administrativo sancionador e de fiscalização.

Em fevereiro de 2023, a ANPD publicou a Resolução CD/ANPD nº 4, de 24 de fevereiro de 2023, Regulamento de Dosimetria e Aplicação de Sanções Administrativas, que estabelece os parâmetros e critérios para a aplicação das sanções às organizações que descumprirem a LGPD ou os regulamentos da ANPD.

Dentre as principais diretrizes trazidas pelo Regulamento supracitado, podemos citar:

• sanções de suspensão do funcionamento do banco de dados, suspensão do exercício da atividade de tratamento e proibição parcial ou total do exercício de atividades de tratamento, consideradas mais severas, só poderão ser aplicadas após alguma das outras sanções previstas na lei já ter sido imposta para o mesmo caso concreto;

• as sanções serão aplicadas individualmente caso haja pluralidade de infratores;

• o descumprimento à sanção aplicada ou a não-regularização da conduta ensejará a progressão da atuação da ANPD;

Entre os parâmetros que serão considerados para a definição da sanção, cabe destacar os seguintes:

• a boa-fé do infrator;

• a cooperação do infrator;

• a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com a LGPD;

• a implementação de uma política de boas práticas e governança; e

• a pronta adoção de medidas corretivas.

A publicação do Regulamento confere carta branca à ANPD para exercer efetivamente as suas funções fiscalizadora e sancionadora, asseguradas pelo artigo 55-J, da LGPD.

As sanções da LGPD. Dentro desse contexto regulatório, as sanções previstas na LGPD abrangem uma gama significativa de medidas punitivas, visando assegurar o cumprimento rigoroso das normas de proteção de dados. Tais sanções incluem:

• advertências;

• multas proporcionais ao faturamento da empresa (limitadas a R$ 50.000.000,00 por infração);

• multas diárias (com teto total de R$ 50.000.000,00);

• publicização da infração;

• bloqueio e eliminação de dados pessoais;

• suspensão parcial do funcionamento do banco de dados (por até seis meses, prorrogáveis);

• suspensão do exercício da atividade de tratamento de dados (por até seis meses, prorrogáveis);

• proibição parcial ou total do exercício de atividades relacionadas ao tratamento de dados.

As primeiras atuações da ANPD. Até o momento, a ANPD aplicou duas sanções administrativas, ambas de natureza pecuniária, a empresas que violaram a LGPD. A primeira sanção foi aplicada em julho de 2023, no valor de R$ 14.400,00, à Telekall Infoservice, uma microempresa de telecomunicações, por oferecer contatos de WhatsApp de eleitores para fins de campanha política, sem comprovar a hipótese legal para o tratamento dos dados, sem registrar as operações, sem enviar o Relatório de Impacto de Proteção de Dados, sem indicar um encarregado de dados pessoais, e sem atender às requisições da ANPD.

A ANPD considerou que a Telekall Infoservice violou os artigos 7 e 41 da LGPD, que tratam, respectivamente, da obrigação de indicar um encarregado pelo tratamento de dados pessoais, com as respectivas identidade e informações de contato divulgadas publicamente de modo claro e objetivo, preferencialmente no site da empresa, e da obrigação de fundamentar o tratamento conforme as bases legais previstas na Lei, como o consentimento do titular, o cumprimento de obrigação legal ou regulatória, a proteção da vida ou da saúde, entre outras.

A ANPD também considerou que a Telekall Infoservice violou o artigo 5º do Regulamento de Fiscalização, que prevê deveres a serem observados pelos agentes regulados, como fornecer cópia de documentos e informações relevantes para a avaliação das atividades de tratamento de dados, por parte da ANPD.

A ANPD impôs à Telekall Infoservice medidas corretivas para sanar as falhas detectadas, como a indicação de um encarregado de dados pessoais, a comprovação da base legal para o tratamento dos dados, o registro das operações, o envio do Relatório de Impacto de Proteção de Dados, e o atendimento às requisições da ANPD.

A segunda sanção aplicada pela ANPD em outubro/2023 [1], foi uma advertência ao Instituto de Assistência ao Servidor Público Estadual de São Paulo (“IAMSPE”), um órgão público estadual que presta assistência médica e hospitalar aos servidores públicos do Estado de São Paulo. A advertência foi motivada pela falta de comunicação adequada de um incidente de segurança que afetou os dados pessoais dos usuários do IAMSPE, bem como pela falta de medidas de segurança adequadas para proteger esses dados.

A ANPD considerou que o IAMSPE violou os artigos 48 e 49 da LGPD, que tratam, respectivamente, da obrigação de comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, e da obrigação de estruturar os sistemas utilizados para o tratamento de dados pessoais de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos na Lei e nas demais normas regulamentares.

A ANPD impôs ao IAMSPE medidas corretivas para sanar as falhas detectadas, como o ajuste do comunicado disponibilizado no site do IAMSPE sobre o incidente de segurança ocorrido em 2022, e a elaboração de um cronograma para implementação de ações com a finalidade de aumentar a segurança dos sistemas de armazenamento e tratamento de dados pessoais do IAMSPE, diminuindo sua vulnerabilidade a incidentes de segurança.

As duas sanções aplicadas pela ANPD, em julho e outubro de 2023, foram as primeiras punições impostas pela autoridade por violações à LGPD, que entrou em vigor em setembro de 2020. As sanções servem como um alerta para os agentes de tratamento, que devem se adequar às normas da LGPD, sob pena de sofrerem consequências administrativas, civis e penais.

A atuação da ANPD pode ser considerada morosa por alguns, considerando que a LGPD entrou em vigor em setembro de 2020 e que a autoridade só aplicou duas sanções até o momento, em julho e outubro de 2023. Além disso, a ANPD ainda não regulamentou diversos pontos da lei que estão em aberto, como as hipóteses de dispensa do relatório de impacto, os procedimentos de revisão de decisões automatizadas, os padrões de segurança e boas práticas, entre outros.

No entanto, também é possível argumentar que a atuação da ANPD não é morosa, mas sim cautelosa e orientativa, levando em conta a complexidade e a abrangência da LGPD, que afeta diversos setores e atividades que envolvem o tratamento de dados pessoais. A ANPD tem buscado promover a conscientização e a educação sobre a proteção de dados, bem como dialogar com os agentes de tratamento e com a sociedade, por meio de consultas e audiências públicas, antes de aplicar sanções mais severas. A ANPD também tem enfrentado desafios estruturais, orçamentários e operacionais, que podem dificultar a sua atuação plena e eficiente.

As decisões do TJSP. Enquanto a ANPD inicia suas atividades, o Poder Judiciário já enfrenta diversas demandas ligadas à LGPD, principalmente aquelas relacionadas a vazamentos de dados. Isso significa que o agente de tratamento responde pelos danos causados aos titulares dos dados, independentemente de culpa, cabendo-lhe apenas alegar e provar as excludentes de responsabilidade previstas na LGPD, como a inexistência do tratamento, a ausência de nexo causal ou a culpa exclusiva do titular ou de terceiro. No entanto, em algumas situações, o tribunal tem exigido a prova do dano efetivo ou considerado a natureza dos dados vazados. Dessa forma, o TJSP diferencia os dados sensíveis dos dados comuns, conforme definidos pela LGPD, e avalia o grau de proteção e de reparação que cada um deles requer.

Os dados sensíveis são aqueles que revelam aspectos íntimos da personalidade ou da vida privada do titular, como origem racial ou étnica, convicção religiosa, opinião política, dados genéticos ou biométricos, entre outros, e que exigem um tratamento mais cuidadoso e restrito, sob pena de sanções mais severas e de presunção de dano moral em caso de vazamento. Os dados comuns são aqueles que não se enquadram nessa categoria, e que demandam uma demonstração do prejuízo concreto ou da violação da dignidade, honra ou imagem do titular para gerar direito à indenização.

Alguns exemplos ilustrativos do posicionamento do TJSP:

(a) Processo nº 1000406-21.2021.8.26.0405 [2]: nesse caso, a 36ª Câmara de Direito Privado do TJSP, em 13 de outubro de 2021, acatou o recurso de apelação da Eletropaulo Metropolitana Eletricidade de São Paulo S/A, julgando improcedente a ação indenizatória movida por uma consumidora que teve seus dados básicos vazados por hackers. O tribunal enfatizou que o simples vazamento de dados não configura automaticamente dano moral, sendo necessário demonstrar a violação da dignidade, honra ou imagem do titular dos dados. Adicionalmente, o tribunal considerou inviável a determinação de obrigação genérica cujo cumprimento não teve sua viabilidade demonstrada.

(b) Processo nº 1000598-51.2021.8.26.0405 [3]: a 25ª Câmara de Direito Privado do TJSP, em 30 de setembro de 2021, negou provimento ao recurso de apelação de um consumidor que teve seus dados pessoais vazados pela mesma empresa. O tribunal destacou que, apesar da falha na segurança do sistema, o autor não comprovou os prejuízos alegados, nem a violação à sua privacidade, intimidade ou honra. A decisão ressaltou que os dados vazados eram comuns e não sigilosos, e que a pretensão indenizatória se baseava em mera possibilidade de ocorrências danosas, insuficiente para gerar direito à reparação.

A jurisprudência do TJSP estabelece que ligações telefônicas inoportunas de operadoras de telefonia não configuram dano moral indenizável, a menos que se demonstre abuso, constrangimento, humilhação ou violação da intimidade do consumidor. Decisões das 27ª [4] e 33ª Câmaras de Direito Privado seguiram esse entendimento, negando provimento a recursos de autores que buscavam reparação por danos morais decorrentes de cobranças e ligações telefônicas indesejadas. Os acórdãos destacaram que as situações narradas pelos autores não ultrapassaram o mero dissabor, transtorno ou percalço do cotidiano, e que não houve comprovação de que as ligações partiram efetivamente da requerida. Assim, concluíram pela ausência de violação aos direitos da personalidade dos autores e da prática de ato ilícito por parte da empresa, o que ensejaria o dever de indenizar.

O posicionamento do STJ. Tanto o TJSP quanto o Superior Tribunal de Justiça (STJ) convergem na compreensão de que o dano moral não é presumido em todos os casos de vazamento de dados, sublinhando a necessidade de se provar o prejuízo efetivo ou considerar a natureza específica dos dados. O STJ, em suas decisões, adota uma postura restritiva, exigindo prova do dano efetivo e levando em conta o caráter sensível dos dados, conforme definido pela LGPD.

Um exemplo elucidativo dessa postura do STJ foi observado no julgamento pela 2ª Turma, em 15 de março de 2021 (AREsp 2130619 [5]). Nesse caso, uma cliente de uma concessionária de energia elétrica alegou que seus dados pessoais comuns foram vazados e utilizados por terceiros para fins eleitorais, buscando uma indenização por danos morais. O tribunal reformou a decisão do TJSP, entendendo que os dados vazados eram de natureza comum e não sensível, não havendo prova do dano efetivo causado à cliente. O STJ enfatizou que o rol de dados sensíveis previsto na LGPD é taxativo, exigindo a demonstração do prejuízo concreto decorrente da exposição dos dados.

Diante do cenário em constante evolução, a aplicação efetiva da LGPD demanda esforços da ANPD e do Poder Judiciário na resolução de questões controversas, como a prova do dano efetivo, a dosimetria das sanções, a harmonização entre decisões e a conscientização dos agentes de tratamento e da sociedade sobre os direitos e deveres previstos na legislação.

[1] Decisão da Coordenação-Geral de Fiscalização da autoridade foi exarada nos autos do processo administrativo sancionador nº 00261.001969/2022-41.

[2] TJSP, Apelação Cível nº 1000406-21.2021.8.26.0405. Relator Pedro Baccarat. Órgão Julgador: 36ª Câmara de Direito Privado. Data do Julgamento: 13/10/2021.

[3] TJSP; Apelação Cível nº 1000598-51.2021.8.26.0405. Relator: Marcondes D’angelo. Órgão Julgador: 25ª Câmara de Direito Privado; Data do Julgamento: 30/09/2021.

[4] TJSP; Apelação Cível 1011106-72.2019.8.26.0196; Relator (a): Daise Fajardo Nogueira Jacot; Órgão Julgador: 27ª Câmara de Direito Privado; Data do Julgamento: 26/05/2021.

[5] AREsp nº 2130619/SP, Rel. Min. Francisco Falcão, 2ª Turma, DJe de 10/03/2023.

O post LGPD em ação: as normas, as orientações e as sanções da ANPD e do Poder Judiciário apareceu primeiro em Teixeira Fortes Advogados Associados.

A Lei Geral de Proteção de Dados Pessoais (“LGPD”) dispõe que:

(i) os agentes incumbidos do tratamento de dados pessoais têm a obrigação de adotar medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e, caso não adotem um padrão mínimo razoável de proteção, serão responsabilizados pelos danos patrimoniais e morais que vierem a causar, salvo nas hipóteses em que o dano decorre de culpa exclusiva do titular ou de terceiros; e que

(ii) são diferentes as responsabilidades do controlador e do operador.

O art. 44 da LGPD dispõe que tratamento de dados pessoais será irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes, entre as quais:

(i) o modo pelo qual o tratamento é realizado;

(ii) o resultado e os riscos que razoavelmente dele se esperam; e,

(iii) as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado.

Portanto, é relevante analisar, em cada caso concreto, o que causou o vazamento de dados, e verificar se os agentes de tratamento adotaram um padrão mínimo para impedir que ocorresse.

Os fundamentos da proteção de dados pessoais, nos termos da LGPD, são: o respeito à privacidade, a autodeterminação informativa, a inviolabilidade da intimidade, da honra e da imagem, a defesa do consumidor, os direitos humanos, o livre desenvolvimento da personalidade e a dignidade.

Nesse contexto, é pertinente a análise de como tem sido o posicionamento do Tribunal de Justiça de São Paulo (“TJSP”), refletidas em duas recentes decisões que afastaram a responsabilidade do controlador e operador de dados pessoais por alegados danos causados por suposto vazamento de dados pessoais:

• Processo nº 1080233-94.2019.8.26.0100

O contexto: O requerente moveu a ação em face de uma construtora afirmando que as partes teriam firmado um contrato para aquisição de unidade autônoma de empreendimento imobiliário de responsabilidade da requerida. Esta, contudo, teria compartilhado dados do requerente com empresas estranhas à relação contratual, o que lhe teria causado dano de natureza extrapatrimonial, pois passou a receber contatos de instituições financeiras, consórcios, empresas de arquitetura e de fornecimento de mobiliário. Assim, requereu a condenação da requerida à obrigação de não fazer, bem como ao pagamento de indenização por dano moral.

A requerida apresentou como impeditivos do direito do Requerente os seguintes fundamentos: a) ausência de sua responsabilidade; b) falta de prova do fato alegado pelo autor como constitutivo de seu direito; c) inexistência de nexo causal; e, d) não caracterização de dano moral.

Em 1ª instância, decidiu-se que a responsabilidade da requerida é objetiva, nos termos do CDC e da LGPD, e que era irrelevante se a construtora possuía mecanismos eficazes para a proteção de dados.

Porém, o TJSP reverteu a decisão, sob o entendimento de que:

(i) a LGPD só é aplicável ao caso concreto a partir da sua vigência plena; como se sabe, os dispositivos referentes à responsabilidade civil dos agentes de tratamento entraram em vigor 24 meses após a data de publicação da LGPD, ou seja, a vigência plena ocorreu apenas em 14/08/2020;

(ii) é necessária prova inequívoca de que a empresa repassou os dados pessoais; a construtora reforçou a falta de provas que indicasse o mau uso dos dados de seus clientes e afirmou que tem feito diversos programas para ampliar as políticas de proteção de dados e se adequar às exigências da LGPD; entre as ações adotadas, a construtora mencionou a criação de um comitê interno de privacidade, a contratação de especialistas voltados exclusivamente para a gestão da proteção dos dados e treinamentos de funcionários, parceiros e corretoras sobre as novas regras da LGPD;

(iii) o simples encaminhamento de mensagens genéricas (por exemplo, convites para eventos ou apresentação de serviços) não configura dano moral, tratando-se de mero dissabor.

• Processo nº1025180-52.2020.8.26.0405

A consumidora moveu ação de indenização por dano moral em face de empresa fornecedora de energia elétrica, fundada na suposta apropriação, por terceiros, de dados pessoais da consumidora, extraídos dos cadastros da concessionária de energia.

O pedido foi julgado improcedente, uma vez que não se demonstrou que a empresa deixou de adotar medida de segurança recomendada pela ciência ou determinada pela ANPD (Autoridade Nacional de Proteção de Dados Pessoais), de modo a ter dado causa a que terceiros tivessem acesso àqueles dados.

A decisão ressaltou a natureza dos dados que foram vazados indevidamente: nome; número de inscrição junto ao CPF; telefones fixo e celular; endereço eletrônico; carga instalada no imóvel e consumo estimado, tipo de instalação, leitura e endereço residencial. E afirmou que tais dados não são acobertados por mínimo sigilo. Asseverou, ainda, que “o conhecimento por terceiro em nada macularia qualquer direito da personalidade da parte autora“. Ou seja, os dados vazados não constituíam dados pessoais sensíveis e nem se relacionavam à intimidade, de modo que o pedido indenizatório foi negado.

A consumidora recorreu da sentença, mas o TJSP manteve o posicionamento da 1ª instância, no mesmo sentido do primeiro acórdão ora comentado. Os fundamentos: (i) foi comprovado que os sistemas envolvidos no incidente eram efetivamente seguros e cumpriam as determinações legais da LGPD; logo, é possível fixar a culpa de terceiro para desconstituir o nexo de causalidade; e, (ii) o simples encaminhamento de mensagens genéricas não configura dano moral e é entendido como mero aborrecimento, pois sequer existe, principalmente nos dias de hoje, pessoa que não receba ligação de telemarketing com oferecimento de produtos e serviços que não foram solicitados.

Foi apontado, também, que não há vedação ao compartilhamento de informações acerca do consumidor, desde que este seja previamente informado sobre quem está armazenando seus dados pessoais e haja transparência do objetivo do tratamento desses dados.

Portanto, o posicionamento no Tribunal de Justiça de São Paulo, com base nos dois acórdãos ora citados, vai no sentido de que, ainda que ocorra vazamento de dados pessoais, o titular dos dados deve comprovar o prejuízo, uma vez que o recebimento de ligações, propagandas via e-mail e mensagens indesejadas não é, por si só, suficiente para configurar dano moral, tratando-se de mero aborrecimento. Ademais, há que ficar demonstrado que os agentes de tratamento não adotaram o padrão mínimo para evitar que o vazamento dos dados pessoais ocorresse.

É essencial que as empresas sejam transparentes e informem aos titulares dos dados pessoais, de forma clara e objetiva, por meio de políticas de privacidade ou no momento da coleta, quais são os dados pessoais coletados, como é feita a coleta e onde esses dados serão armazenados, o tempo de armazenamento e se haverá o uso compartilhado desses dados com parceiros comerciais, bem como indiquem a figura do encarregado, cuja competência é intermediar a comunicação entre os titulares dos dados e os agentes de tratamento, bem como entre estas e o órgão de controle externo. Com isso, se mantém valiosa a assessoria para o mapeamento, adequação e gestão dos dados pessoais das atividades das empresas, por força do relacionamento trabalhista, consumerista, contratual, entre outros.

O post O TJSP e as indenizações por vazamento de dados pessoais apareceu primeiro em Teixeira Fortes Advogados Associados.

Nos termos do artigo 5º, da LGPD, dado pessoal é toda informação relacionada a pessoa natural e os dados sensíveis são aqueles de origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização de caráter religioso, referente à saúde ou à vida sexual, dado genético ou biométrico (geralmente colhidos nos registros de ponto ou em recibos de pessoas não alfabetizadas), entre outros. Ademais, também podemos considerar como dados pessoais o monitoramento das correspondências eletrônicas, capturas das imagens no local de trabalho, registros de chamadas por videoconferência e dados dos familiares.

Todo esse acesso, armazenamento e possibilidade de tratamento desses dados impactam de forma significativa as relações de trabalho, já que imputam responsabilidade civil pelo empregador desde a fase de seleção até após o fim do contrato (seja ele de trabalho ou de prestação de serviços autônomos), uma vez que o Departamento Pessoal coleta diversas informações pessoais, condições do contrato, escolaridade, contatos, exames e atestados médicos, estado civil, existência de dependentes, dados bancários, planos de saúde, previdência privada e diversos outros comuns nas relações de trabalho.

Diante disso, as empresas devem se atentar às novas determinações da LGPD, em especial sobre as seguintes determinações:

• o tratamento dos dados pessoais somente poderá ser realizado mediante consentimento do titular e, caso a empresa possua esse consentimento e necessite comunicar ou compartilhar os dados com outros colaboradores, também deverá obter consentimento específico, nos termos do artigo 7º, inciso I;

• o consentimento deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação do titular, sendo que, na hipótese de consentimento por escrito, esse deverá constar de cláusula destacada das demais cláusulas contratuais. Além disso, o consentimento deverá se referir a finalidades determinadas, uma vez que autorizações genéricas serão consideradas nulas e, caso haja qualquer alteração na informação objeto do consentimento anterior, a empresa deverá informar o empregado/prestador de forma específica qual foi a alteração no uso dos dados, oportunidade da qual o empregado/prestador poderá concordar ou revogar o consentimento, vide artigo 8º;

• as empresas que contratam menores aprendizes/estagiários menores de idade também devem tratar dos dados apenas com consentimento específico fornecido por pelo menos um dos pais ou pelo responsável legal, o qual contenha todas as informações sobre o tratamento dos dados (inclusive a finalidade), nos termos do artigo 14º, da LGPD;

• quando do término do tratamento dos dados (encerramento do contrato de trabalho, do contrato de prestação de serviços ou de outro específico), esses dados coletados/armazenados devem ser eliminados, sendo autorizado o armazenamento com a finalidade de cumprimento de obrigação legal ou regulatória, ou seja, pelos prazos prescricionais legais. Os dados da seleção da fase pré-contratual, salvo consentimento específico do candidato, caso ele não seja contratado, devem ser eliminados, conforme artigos 15 e 16;

• indicação de quem é o encarregado pelo tratamento de dados pessoais, cuja identidade e informações de contato devem ser divulgadas publicamente, nos termos do artigo 41; e,

• adoção de medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito dos dados dos empregados/prestadores.

Seguindo essas determinações e com a finalidade de reduzir eventuais riscos de demandas judiciais e administrativas, é recomendável que as empresas adotem algumas cautelas, tais como:

Fase pré-contratual:

• colete o mínimo de dados possível, apenas aqueles suficientes para o cadastro e exercício da função contratada;

• não colete dados sensíveis que gerem qualquer critério discriminatório entre os candidatos;

• obtenha consentimento específico do candidato sobre a política da coleta e a utilização dos dados, inclusive com cláusula de autorização de armazenamento caso não tenha sido selecionado ou eliminação dos dados, bem como sobre eventual compartilhamento do currículo com outras possíveis empregadoras;

• apenas solicite antecedentes criminais se for obrigatório para o exercício da função; e,

• caso a entrevista seja por videoconferência, são necessários cuidados no armazenamento (e do acesso por outros colaboradores), em especial por conter dados sensíveis, sendo sugerido que – após a seleção – vídeo seja eliminado.

Fase contratual:

• antes de coletar/armazenar os dados para o contrato, obtenha o termo de consentimento acerca da política adotada;

• com relação aos dados sensíveis, elabore um termo específico;

• para os empregados/prestadores que já estão com contratos vigentes, formalize termos de consentimento de acordo com a política que se adeque às regras da LGPD;

• caso receba atestados médicos que contenha CID e motivo do afastamento, obtenha termo específico de consentimento do tratamento de guarda e acesso por colaboradores autorizados;

• caso forneça seguros, planos de saúde, haja filiação com sindicatos ou os dados do colaborador precise ser compartilhado, obtenha autorização expressa e detalhada do compartilhamento, inclusive quando conter dados de familiares e/ou de terceiros;

• não forneça, sem o consentimento do empregado/prestador o número de telefone e/ou qualquer outro meio de contato pessoal, tampouco os publique em redes sociais ou sites; e,

• caso haja labor em home office, oriente os empregados e prestadores sobre a atenção redobrada por riscos de vazamentos de dados e se certifique que todos foram devidamente orientados e não possuem dúvidas.

Fase de rescisão:

• Mantenha o armazenamento dos dados e documentos essenciais e apenas durante o período dos prazos prescricionais legais.

Deste modo, as empresas devem orientar todos os departamentos da empresa sobre as regras da LGPD, bem como publicar as políticas adotadas quanto a privacidade dos dados, haja vista que o tema está sendo objeto de discussões na justiça do trabalho, senão vejamos:

NÚMERO DE TELEFONE PARTICULAR DA EMPREGADA. DIVULGAÇÃO NO SITE DE VENDAS DO EMPREGADOR. INDENIZAÇÃO. DANO MORAL. CABIMENTO. A caracterização do dano moral pressupõe violação à dignidade pessoal – art. 1º, III da Constituição Federal -, mediante vulneração da integridade psíquica ou física da pessoa, bem como aos direitos fundamentais previstos na Constituição da República. E o art. 5º, X, da CR/88 prevê que “são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação”. A inserção do número de telefone do empregado, no site da empresa, sem prova inequívoca de autorização, implica divulgação de dado pessoal, que afronta sua vida privada. Configurados os elementos essenciais ao dever de indenizar (ato ilícito, dano e nexo de causalidade) em relação ao direito à privacidade, correta a condenação da empregadora. (TRT-3 – RO: 00103371620205030074 MG 0010337-16.2020.5.03.0074, Relator: Ricardo Marcelo Silva, Data de Julgamento: 09/06/2021, Nona Turma, Data de Publicação: 10/06/2021.)

O Sindicato ingressa com ação em nome dos substituídos alegando descumprimento sistemático relativo à proteção de dados por parte da empresa reclamada. Afirma que além da posse de dados, a empresa os compartilha com diversos outros controladores e operadores, sem as cautelas necessárias. Refere não haver indicação do encarregado pelos dados pessoais. Argumenta também que o tratamento de dados é compartilhado por intermédio da internet, em desatenção ao Marco Civil da Lei 12.965/14, arts. 10 e 11, pois não se observa o respeito à intimidade, privacidade e imagem. Entende haver presunção de dano moral. Em tutela de urgência, postula: sejam informados os dados do encarregado; confirmação de quais dados pessoais estão sendo tratados, com as respectivas bases legais, modalidades e ciclos de vida (2 e 10); indique para quais países e em que circunstâncias os dados foram transferidos; forneça a lista de todos os terceiros com quem tenha havido compartilhamento, além da finalidade; indique quais destes podem compartilhar, armazenar ou acessar os dados, bem como a base legal e salvaguarda adotada para tanto; receba prestação de contas sobre o uso específico dos dados; diga o tempo que pretende manter armazenados os dados pessoais; Indique decisões automatizadas que estejam sendo tomadas com base nos dados; se houve algum incidente de segurança e suas consequências (12 a 15); se acaso ocorreu algum acesso inadequado de dados e disso resultou penalidade a algum investigado (19); quais medidas de mitigação, tecnologia e proteção de dados foram adotadas, assim como políticas e padrões de informações (16, 17, 18); sobre medidas de treinamento e conscientização. Por fim, requer o reconhecimento da ausência de conformidade e atendimento dos itens supra; seja determinada sua abstenção de repasse, vazamento, venda, entrega, doação ou aluguel de dados, sem autorização; indenização por danos morais, aplicação do art. 52 da LGPD, bem como comunicação à Autoridade Nacional e divulgação pública da sentença. Pois bem. Em linhas gerais, a Lei 13.709/2018 passou a ter vigência escalonada a partir de 28/12/2018, trazendo previsões sobre o tratamento de dados no intuito de proteção dos direitos fundamentais de liberdade e privacidade (art. 1º). Diante da omissão legislativa até então existente, buscou-se assegurar que os titulares dos direitos envolvidos estejam resguardados em sua dignidade/privacidade e protegidos também em face da automação, na forma do art. 7º, XXVII, da Constituição Federal. A este exemplo, o art. 20 da LGPD assegura o direito à reversão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais. Também está assentada a função social da propriedade, art. 170, III, da CRFB. É consabido que atualmente os dados pessoais constituem um novo insumo da economia globalizada e tecnológica; e tal proteção revela importância pela necessidade em se erigir ao mercado igualdade de concorrência e função antidumping. Dando efetividade a isso, dentre as bases principiológicas previstas no art. 6º da LGPD, destaco a finalidade, o livre acesso, transparência, segurança, prevenção, não discriminação e prestação de contas. No caso, a reclamada não trouxe aos autos qualquer documentação relacionada aos funcionários ou mesmo demonstrou por nenhum meio a implementação de um único dispositivo da LGPD. (…) Além do mais, a reclamada está subsumida à legislação vigente, por se tratar de pessoa jurídica de direito privado que opera tratamento de dados para fornecimento de serviços (art. 3º, II). (…) Com efeito, acolho parcialmente o pedido 1 para determinar que a empresa indique e nomine encarregado, na forma do art. 41 da LGPD. (…) Sobre os dados de tratamento, contudo, sensíveis ou não (arts. 7º e 11), prescinde de consentimento dos empregados se está relacionado à execução do contrato de emprego ou cumprimento de obrigação legal. Portanto, a base legal para o tratamento de dados está assentada nessa finalidade e observando o tempo necessário e previsto em lei para a devida documentação e guarda. (…) Tocante às questões de segurança e treinamento, por outro lado, conforme indicado supra, o art. 46 e ss. da LGPD determina que os agentes de tratamento de dados pessoais devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados. No caso, a empresa não comprovou qualquer precaução adotada, limitando-se a negar a existência de obrigação legal. Ação Civil Coletiva 0020043-80.2021.5.04.0261. Data da Autuação: 26/01/2021. Tribunal Regional do Trabalho da 4ª Região. MONTENEGRO/RS, 13 de julho de 2021. IVANISE MARILENE UHLIG DE BARROS – Juíza do Trabalho Substituta.

Logo, o mais recomendável é que o empregador, antes da elaboração dos termos de consentimento e da política de implantação da LGPD consulte um especialista, sendo certo que a equipe trabalhista do Teixeira Fortes está preparada para dirimir dúvidas.

O post Impactos da LGPD nas relações de trabalho: como se precaver apareceu primeiro em Teixeira Fortes Advogados Associados.

Foi a LGPD que trouxe o arcabouço legal específico para o que se passou a chamar “tratamento de dados pessoais”, que vem a ser, segundo os exatos termos da lei, “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração” de qualquer informação relacionada a uma pessoa natural (física).

Vale dizer: uma vez que uma empresa tenha recebido qualquer dado pessoal, independentemente de sua finalidade, estará automaticamente realizando tratamento de dados.

A LGPD, absolutamente, não veda o tratamento de dados pessoais. Ao contrário, o viabiliza, inclusive estabelecendo situações em que esse tratamento é necessário e, consequentemente, legítimo, independentemente da existência de consentimento do titular dos dados.

Então, o que exige a LGPD para o regular tratamento de dados? Basicamente, para que um tratamento de dados seja realizado de forma legítima, ele deve: (i) estar fundamentado em uma das bases legais; e, (ii) observar os princípios informativos da LGPD.

Base legal é o mesmo que autorização legal. É a hipótese em que o tratamento de dados é permitido. E os princípios são os limites impostos a essa autorização. Ou seja, ainda que um tratamento de dados seja realizado com fundamento em uma base legal, se violar algum dos princípios, ele não é legítimo.

As bases legais estabelecidas pelo artigo 7º da LGPD, no que interessam ao empresariado, são as seguintes (podendo, o tratamento de dados, ser fundamentado em uma ou mais delas):

(i) consentimento do titular dos dados;

(ii) cumprimento de obrigação legal ou regulatória;

(iii) execução de contrato ou de procedimentos preliminares relacionados a contrato de que seja parte o titular dos dados;

(iv) exercício regular de direitos em processo judicial, administrativo ou arbitral;

(v) proteção da vida ou da incolumidade física do titular ou de terceiro;

(vi) tutela da saúde;

(vii) legítimo interesse;

(viii) proteção do crédito.

Por outro lado, os princípios informadores da LGPD, de acordo com o disposto no art. 6º, são:

(i) boa fé;

(ii) finalidade;

(iii) adequação;

(iv) necessidade;

(v) livre acesso;

(vi) qualidade dos dados;

(vii) transparência;

(viii) segurança;

(ix) prevenção;

(x) não discriminação;

(xi) responsabilização; e,

(xii) prestação de contas.

E quais seriam as medidas necessárias, em princípio, para uma empresa se adequar à LGPD, atendendo ao binômio “base legal e princípios”?

Antes de começar a elaborar documentos, desenvolver ferramentas de TI ou contratar profissionais, a empresa deve mapear o seu fluxo de dados pessoais. Que dados recebe, de onde recebe, o que arquiva, o que e com quem compartilha, de que forma isso é feito e com que finalidade. Esse é primeiro passo.

A partir daí, com uma visão clara do seu fluxo de dados e com um entendimento adequado da LGPD, pode-se definir quais os documentos serão necessários para conformar o tratamento de dados (política de privacidade, termo de confidencialidade, aditamentos de contratos com colaboradores, clientes e fornecedores, dentre outros) e, eventualmente, desenvolvimento de ferramentas de TI que possam garantir a segurança dos dados submetidos a tratamento, mitigando os riscos de violação da privacidade. E, num passo seguinte, nomear uma pessoa que seja responsável pela interface entre a empresa, titulares de dados e os órgãos fiscalizadores, definido na lei como “Encarregado”.

O tema LGPD é bastante amplo. Nos próximos artigos abordaremos com um pouco mais de profundidade os aspectos mais relevantes da lei, seus princípios, institutos e atores que farão parte, certamente, do cotidiano das empresas. Mas o time do Teixeira Fortes está, desde já, preparado para atender as demandas decorrentes da necessidade de adequação das empresas à LGPD.

O post LGPD : o que fazer para se adequar? apareceu primeiro em Teixeira Fortes Advogados Associados.

Antes mesmo de sua entrada em vigor, a LGPD já sofreu alterações em suas disposições, mas nada que modificasse sua essência. Neste sentido, é certo que referida lei, na forma em que hoje se mostra redigida, será importantíssima para converter em obrigação o que anteriormente era considerado apenas como boas práticas por parte das empresas e órgãos públicos.

A ideia deste artigo é abordar, em linhas gerais, algumas definições básicas e que merecem a atenção, para assim entendermos de forma compreensível a quem a lei se destina, o que são dados pessoais, assim considerados pela LGPD, bem como o que é o tal tratamento a eles conferidos e respectiva forma de consentimento.

A proteção de que trata a LGPD refere-se exclusivamente às pessoas físicas, e tem como destinatário aqueles que tratam seus dados.

O destinatário é denominado controlador, que pode ser tanto pessoa física como jurídica, de direito privado ou público, e é o responsável por decidir sobre o tratamento dos dados de seus titulares. É prevista ainda a figura do operador, aquele que efetivamente realiza o tratamento dos dados em nome do controlador.

Dentro de uma empresa, a proteção da lei se refere tanto aos clientes internos, como colaboradores, fornecedores ou terceirizados, quanto aos seus clientes externos.

Os dados pessoais objeto de proteção são todos aqueles que identifiquem o indivíduo direta ou indiretamente, tais como, exemplificativamente: nome, números de documentos como RG ou CPF, endereço eletrônico, como e-mail ou IP, endereço físico, estado civil, profissão, fotografias, biometria, dentre outros.

A LGPD ainda traz o conceito de dados sensíveis: aqueles que gozam de especial proteção. Os dados sensíveis são os relativos à raça, religião, opinião política, saúde, dentre outros, e só poderão ser tratados pelo operador para finalidades específicas.

Para melhor entender o que são dados sensíveis, basta compreendermos que são aqueles cuja divulgação inopinada é capaz de gerar um dano imediato, ou possam submeter a pessoa a uma discriminação.

Indo adiante, a LGPD define como tratamento todas as possíveis ações dos operadores em relação aos dados dos seus titulares.

É um termo amplo, que vai desde a coleta ou recepção de dados, até a sua reprodução ou transmissão, e mesmo seu armazenamento e eliminação. Enfim, são as várias formas de manipular, de lidar com os dados.

E é com este tratamento que as pessoas físicas devem consentir, de forma específica, à finalidade pretendida, para que os controladores não sejam responsabilizados pela indevida utilização dos dados, nas diversas formas previstas na LGPD.

Com isto chegamos ao modo de consentimento, pelo titular dos dados, para tratamento deles por parte do controlador.

Pela LGPD, consentimento é a “manifestação livre, informada e inequívoca, pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada” (art. 5º, XII).

Referido consentimento pode ser fornecido por escrito ou por outro meio que demonstre a efetiva manifestação de vontade do titular do direito à proteção – o que remete, portanto, a uma forma digital de se consentir, bastante usual nos tempos de hoje obviamente.

Se por escrito, esse consentimento deverá constar de disposição destacada das demais cláusulas contratuais que vinculem a pessoa ao operador.

Isto se aplica, como mencionamos acima, tanto para clientes internos como externos.

Como exemplo de consentimento para clientes internos, é conveniente que dos contratos de trabalho conste a indicada cláusula destacada a este respeito. Tal cláusula serviria para autorizar o tratamento dos dados para a realização de todas as ações relacionadas ao contrato de trabalho. E com o fim do vínculo, referidos dados deverão até mesmo ser eliminados, a não ser para hipótese de obrigação legal de se conservar documentos, ou seja, para atendimento de fiscalizações ou instruir ações trabalhistas.

Sobre o consentimento de forma digital, ele é possível desde que possa o controlador, de forma inequívoca, vincular tal consentimento, com a indicação da finalidade específica do tratamento, a cada cliente interno ou externo.

Ainda sobre o consentimento, ele pode ser revogado a qualquer tempo pelo titular dos dados. E sempre que o controlador pretender alterar a finalidade, ou a forma e duração do tratamento, bem como o modo com que os dados são compartilhados, deverá obter da pessoa interessada novo consentimento.

É evidente que a LGPD traz muitas outras definições e determinações, mas de forma sucinta e objetiva, as informações básicas a respeito dos temas aqui tratados são as acima indicadas.

Entendemos que essas informações podem servir de norte aos responsáveis pelo tratamento dos dados, especialmente para que passem a empreender os esforços necessários para que, desde já, adequem-se a LGPD, antes que as sanções estabelecidas passem a valer, situação prevista para ocorrer em agosto de 2021.

O time do Teixeira Fortes tratará mais amiúde do assunto daqui para frente, e estará à disposição dos clientes que precisarem de ajuda nos processos de adequação.

O post A LGPD em termos compreensíveis apareceu primeiro em Teixeira Fortes Advogados Associados.

A internet proporciona intensa coleta de dados das pessoas, muitas vezes reduzindo sua privacidade e intimidade, direitos fundamentais consagrados em nossa Constituição Federal.

Com a declarada finalidade de dispor “sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, foi editada no Brasil a Lei Geral de Proteção de Dados Pessoais (LGPD) – Lei 13.709/2018,  inspirada na legislação europeia (General Data Protection Regulation – GDPR).

Essa nova lei passará a regular o tratamento de dados pessoais tanto em meios físicos quanto digitais, trazendo novas regras e obrigações relacionadas à privacidade e proteção de dados pessoais, sendo aplicável a praticamente qualquer organização que interaja com esses dados. Por força da Medida Provisória nº 959, de 29/04/2020, o prazo de vacatio legis da Lei Geral de Proteção de Dados foi estendido para até o mês de maio de 2021.

Mas o que são dados pessoais, afinal? A lei considera dado pessoal a “informação relacionada a pessoa natural identificada ou identificável”, e dado pessoal sensível o “dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural” (Art. 5º da LGPD).

Nessa ordem de ideias, a partir da LGPD caberá a todos os que interagem com dados pessoais entenderem os futuros impactos em seus negócios, a fim de evitar as penalidades previstas em lei.

Até 2018, não tínhamos uma lei específica que tratava de dados pessoais, apenas princípios, diretrizes, comunicações, recomendações, como por exemplo:

* a própria Constituição Federal, que protege a privacidade e intimidade, em seu Art. 5º (direitos fundamentais);

* o Código de Defesa do Consumidor, que fala apenas da perspectiva do Consumidor e aborda brevemente sobre a utilização de seus dados; e

* previsão de crimes, com base na quebra de sigilo (como quebra do sigilo bancário).

Considerando que toda e qualquer interação que se faça com a tecnologia poderá ser armazenada a interpretada, é necessário entender que a economia digital está baseada na interação do indivíduo com as tecnologias, em que suas informações podem ser transmitidas. A Lei faz com que o titular dos dados pessoais possa ter insights, permitindo-lhe exercer discernimento sobre como serão utilizados. Ou seja, impõe algum nível de customização sempre que houver coleta de dados, a partir do momento em que o titular clique (opt in) ou aceite isso de forma clara e informada (interação prévia).

Nesse contexto, para que não haja abusos, seja por privacidade violada ou discriminação (como por exemplo no caso de um titular passar a ser tolhido na contratação de um seguro ou processo seletivo), e para que o titular passe a ter a ciência de como seus dados são coletados, tratados e utilizados, e com qual finalidade, a LGPD vem regular e limitar a utilização, coleta e tratamento de dados.

Atualmente, muitos negócios utilizam a política de privacidade para alcançar essa proteção ao usuário. Com um simples clique, o usuário declara que possui conhecimento de como seus dados são coletados, a finalidade dessa coleta e se haverá compartilhamento com outras empresas, entre outros. A LGPD tem a a finalidade de complementar essa política e aperfeiçoar essa prática.

Muitas vezes, o desafio ao elaborar uma política de privacidade é dar ciência ao usuário acerca da finalidade que se seus dados dele, sem um detalhamento minucioso, pois isso pode ser o segredo do negócio. A LGPD pretende proteger o segredo do negócio, buscando o equilíbrio entre privacidade e intimidade de um lado, e preservação da empresa, de outro.

A partir da LGPD, será necessário que as empresas definam quais são os dados a serem coletados, e sua destinação, e tenham também uma política clara sobre como lidar com os questionamentos acerca do uso de tais dados:

* a LGPD é uma lei cultural, porque não será aplicada sem considerar o modelo de negócios das empresa; ela deverá fazer parte da cultura da empresa;

* é uma lei de governança (como as coisas funcionam dentro da empresa – relação com políticas, normas, regras, padrões) e compliance;

* não é detalhista em processos e ferramentas (fica a critério da empresa determinar como será feita a segurança da informação);

* a LGPD traz princípios e elenca hipóteses de utilização de dados pessoais, dispondo sobre a necessidade do consentimento claro e informado do titular.

A LGPD, marcada por princípios e conceitos, cuida da proteção dos dados da pessoa natural, condiciona o tratamento de dados a finalidades previamente estabelecidas e informadas ao titular. Fixa padrões no ciclo de vida dos dados pessoais, com estabelecimento de obrigações de manutenção de dados por prazos e deveres para realização do descarte seguro.

Os fundamentos da LGPD estão elencados em seu Art. 2º, e são: proteção da privacidade; autodeterminação informativa (os titulares tem o poder de escolher os dados que desejam informar e compartilhar com terceiros); proteção da liberdade de expressão, comunicação e opinião; proteção da intimidade, honra e imagem; desenvolvimento econômico e tecnológico (protege a inovação, observada delimitação do uso da tecnologia); e, livre iniciativa, livre concorrência e a defesa do consumidor.

A aplicação da LGPD, conforme Art. 3º, se dará em toda e qualquer operação de tratamento de dados pessoais, independente do meio (inclusive meio papel), realizada no Brasil ou tratados e coletados no território nacional.

Além disso, a legislação formula bases legais para o tratamento de dados, listando 10 hipóteses em que é possível em situações em que não há dependência direta do consentimento do titular de dados. Essas hipóteses pautam-se na relação entre adequação-finalidade. Não se permite que o uso seja irrestrito e por prazo indefinido.

Os titulares de dados pessoais podem exercer direitos sobre as informações pessoais fornecidas, tais como: podem requisitar informações sobre o tratamento de suas informações; possuem direito à qualidade das informações que são tratadas a seu respeito, podendo, inclusive, solicitar correções; podem revogar o consentimento para a tratamento de dados a qualquer tempo; passaram a ter direito a solicitar a portabilidade de seus dados para migração para outras plataformas; decidir se haverá a disponibilização de tais informações com empresas parceiras do controlador; e, inclusive, requisitar a eliminação de seus dados.

Ainda que falte cerca de 1 ano para a plena vigência e eficácia da LGPD, é prudente que esse tempo seja aproveitado para que planos de adequação sejam criteriosamente avaliados pelos operadores e controladores dos dados pessoais, a fim de diminuir riscos regulatórios e aprimorar seus modelos de negócios.

O post Direito e tecnologia: LGPD para quê? apareceu primeiro em Teixeira Fortes Advogados Associados.