Em breve pesquisa que fizemos no LinkedIn constatamos que 90% das pessoas já foram vítimas de violação de dados pessoais. Mailings, mensagens pelo Whatsapp, ligações para venda de produtos ou serviços realizadas sem autorização do titular dos dados. Isso sem mencionar os casos de vazamentos que expõem a risco, ainda mais, a vida privada e a segurança de todos.
Justamente para coibir essa prática e regulamentar o tratamento de dados de pessoas físicas, foi publicada a Lei Geral de Proteção de Dados em 2018, que teve sua entrada em vigor postergada algumas vezes e, em 18 de setembro de 2020 finalmente passou a valer de forma efetiva.
Desde a sua promulgação, a LGPD ganhou enorme projeção, em parte por conta da severidade das penalidades nela previstas, partindo de simples advertências a multas de até 2% do faturamento da empresa infratora com teto de 50 milhões de reais, por infração, ou mesmo, o que entendemos ser mais grave do que a multa pecuniária, a “publicização da infração após devidamente apurada e confirmada a sua ocorrência” e o bloqueio ou eliminação dos dados de pessoas físicas do banco de dados da infratora.
Menos de dois meses após a LGPD entrar em vigor, em 06 de novembro de 2020, completando 3 anos hoje, foi criada a Autoridade Nacional de Proteção de Dados, com sua competência definida no artigo 55-J. Dentre as funções da ANPD está a de garantir a proteção de dados pessoais e a devida aplicação da Lei Geral de Proteção de Dados, bem como de criar os mecanismos a serem usados para garantir a proteção dos dados pessoais no Brasil.
Art. 55-J. Compete à ANPD:
(…)
IV – fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso;
Apesar da gravidade das sanções previstas na LGPD, temos visto poucas notícias de punições pecuniárias por infração à Lei. Mas isso deve mudar em breve.
Em meados desse ano (2023), ocorreu a primeira punição de empresa nesse sentido. Trata-se de uma microempresa do ramo de telefonia com sede em Vila Velha/ES, a Telekall Infoservice, que recebeu uma multa de R$ 14.400,00 por não ter indicado o Encarregado de tratamento de dados pessoais (também conhecido como DPO – Data Protection Officer), conforme prevê o artigo 41 da LGPD, o que deveria ser feito, preferencialmente, no site da empresa, e porque não teria comprovado a ‘base legal’ para o tratamento de dados pessoais.
Isso mostra duas obrigações primordiais que as empresas devem cumprir, de acordo com Lei:
- Nomear um Encarregado de tratamento de dados, que é o responsável (i) aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; (ii) receber comunicações da autoridade nacional e adotar providências; (iii) orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e (iv) executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
Nesse ponto, sempre recomendamos que o Encarregado tenha conhecimentos técnicos jurídicos sobre a legislação que versa sobre a proteção de dados de pessoas físicas, incluindo a LGPD, bem como tenha conhecimento a respeito da empresa a quem prestará seus serviços, lembrando que ele pode ser tanto um prestador interno como terceirizado. É importante lembrar, ainda, que deverá ter autonomia na tomada de decisões relativas às diretrizes da empresa no que tange ao tratamento de dados.
- Definir a base legal que permite o tratamento de dados de pessoas físicas.
É aqui que queremos focar para esse artigo: O que é a base legal para o tratamento de dados pessoais? As empresas devem ter, sempre, o consentimento do titular para isso? Vejamos:
A base legal é o conjunto de hipóteses previstas na lei que autorizam a empresa a tratar um dado de pessoa física. Esse conjunto está previsto no artigo 7o. da LGPD:
Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
I – mediante o fornecimento de consentimento pelo titular;
II – para o cumprimento de obrigação legal ou regulatória pelo controlador;
III – pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;
IV – para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
V – quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
VI – para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ;
VII – para a proteção da vida ou da incolumidade física do titular ou de terceiro;
VIII – para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
IX – quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
X – para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
É importante deixar claro que a lista acima não representa uma hierarquia entre as hipóteses de tratamento, em que o item anterior é mais importante do que o item seguinte, ou mesmo que as hipóteses devem ser observadas pelas empresas em sua totalidade para permitir tratamento de dados.
Isso inviabilizaria qualquer operação empresarial e não faria nenhum sentido se verificarmos que uma das hipóteses é a “realização de estudos por órgão de pesquisa”, por exemplo. A relação do artigo 7o., portanto, não traz uma hierarquia dentre seus incisos.
Duas dessas hipóteses, porém, chamam a atenção e, certamente, devem ser as mais usadas para fins de justificar o tratamento de dados de pessoas físicas por empresas privadas de um modo geral:
I – mediante o fornecimento de consentimento pelo titular;
e
V – quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
É sempre necessário obter o consentimento do titular do dado pessoal para a minha empresa usar esse dado? A resposta é não, caso o uso desse dado possa ser justificado com base nas outras hipóteses previstas no artigo 7o, como, por exemplo, quando for necessário para a execução de um contrato firmado com esse titular, que é a hipótese do inciso V acima mencionado.
Uma empresa que vende produtos na internet não precisa obter o consentimento do consumidor para usar os dados deste na transação comercial (= execução do contrato). Nesse caso, ela precisa usar dados que o próprio consumidor incluirá na plataforma de e-commerce, como nome, CPF, e-mail, endereço e número do cartão de crédito, para poder entregar o produto, cobrar pela venda e emitir a Nota Fiscal. Além disso, a empresa poderá armazenar esses dados para ter provas de que a transação (o contrato) foi realizada e, caso haja qualquer problema, terá as informações que precisa para se defender.
Ou seja, o tratamento desses dados tem sua justificativa no inciso V do artigo 7o. da LGPD e não precisa do consentimento do consumidor.
Agora, se essa empresa quiser enviar e-mails a esse consumidor informando sobre promoções, produtos novos, eventos etc., aí sim, precisará desse consentimento para usar os dados (nome e e-mail) dessa forma. Por isso que, sempre que adquirimos um produto na internet, na hora de efetuar o cadastro incluindo dados pessoais, há um checkbox ao final com uma frase do tipo “quero receber e-mails com promoções da loja”, e outro checkbox contendo a Política de Privacidade e Proteção de Dados da empresa, justamente para a empresa obter nosso consentimento para tratar os dados para essa outra finalidade.
É importante que as empresas, aliás, não dependam do consentimento dos titulares de dados em suas operações, a não ser que isso seja fundamental, pois trata-se de uma hipótese precária de autorização de tratamento de dados, já que pode ser revogada ou questionada a qualquer momento, tornando indevido o uso do dado e podendo inviabilizar a operação.
A primeira aplicação de multa à uma empresa privada mostra que a ANPD já começou a agir nesse sentido, fiscalizando, investigando e penalizando empresas que não estejam em conformidade com a LGPD.
Estar em conformidade implica passar por processo de adequação, identificando o procedimento interno de tratamento de dados, desde a coleta até o armazenamento, quais são as vulnerabilidades desse sistema (online ou offline) e quais as medidas que devem ser implementadas para que se respeite as diretrizes legais. E isso também passa por aquelas duas obrigações que falamos aqui, nomear o Encarregado (DPO) e definir a base legal que autoriza o tratamento de dados pela companhia.
Por fim, fica a dica a todos que tiveram seus dados pessoais usados sem autorização: o site da ANPD tem um canal de denúncias em que se pode relatar casos de uso indevido de dados pessoais.
Clique nas imagens abaixo para acessar diretamente a página.
Agora, se você é controlador de dados – pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais – e sua empresa está passando por incidente de segurança, deverá comunicar esse fato à ANPD, e o canal a ser acessado é esse aqui:
