Quais são as implicações práticas da vigência retroativa da LGPD?

Para quem acreditava que a Lei Geral de Proteção de Dados (LGPD) só entraria em vigor “sei lá quando”, foi surpreendido com os últimos acontecimentos com a entrada em vigor retroativa da Lei. Foi impressionante e terrível do ponto de vista de segurança jurídica toda a série que envolveu o adiamento da vigência da LGPD e a ausência da efetivação da Autoridade Nacional de Proteção de Dados (ANPD). Finalmente, temos uma perspectiva de quando a LGPD estará em vigor, bem como uma Autoridade estruturada (Decreto n. 10.474, de 26 de agosto de 2020). A ANPD ainda não está operando, tão pouco está no seu formato ideal (autarquia/agência independente e autônoma), mas já temos grandes avanços com a sua estruturação. Bem, vamos aguardar as nomeações e acompanhar a sua atuação. 

De toda forma, vale lembrar que, muito embora a LGPD entre em vigor de forma retroativa, a sua eficácia está suspensa durante todo o período que a Medida Provisória n. 959/2020 esteve vigente. Então, na prática, como fica a situação jurídica durante o período do dia 16 de agosto de 2020 até a sanção/veto do Presidente da República (PR)? A LGPD poderia ser aplicada retroativamente, se ela não possui eficácia enquanto esteve vigente a MP 959/2020?

Apesar de estar em vigor, por que a LGPD não pode ser aplicada durante esse período?

Em reviravolta emocionante, o Senado declarou prejudicado o art. 4o do PLV oferecido à MP 959/2020 – que previa a prorrogação da vigência da LGPD para 03/05/2021 [1] -, suprimindo-o do texto, por entender que a matéria já havia sido apreciada no PL 1.179/2020 [2]. Assim, como o artigo da MP 959/2020 foi retirado do texto, significa que a MP foi rejeitada nesse ponto e o restante do texto segue para sanção/veto do Presidente da República (PR). 

Com isso, ao contrário do que muitos afirmaram, a Lei não entrou em vigor no dia 27/08/2020! A sua vigência retroativa somente ocorrerá, em até 15 dias úteis (até o dia 18/09/2020) [3], após a sanção/veto do PR ao restante do projeto de lei de conversão – PLV de conversão da MP 959/2020 em Lei – quando finda os seus efeitos. 

E mais, de acordo com entendimento do Supremo Tribunal Federal (STF), medida provisória não revoga lei anterior, apenas suspende a sua eficácia enquanto produzir efeitos:

“medida provisória não revoga lei anterior, mas apenas suspende seus efeitos no ordenamento jurídico, em face do seu caráter transitório e precário. Assim, aprovada a medida provisória pela Câmara e pelo Senado, surge nova lei, a qual terá o efeito de revogar lei antecedente. Todavia, caso a medida provisória seja rejeitada (expressa ou tacitamente), a lei primeira vigente no ordenamento, e que estava suspensa, volta a ter eficácia.” (ADI 5.709, ADI 5.716, ADI 5.717 e ADI 5.727, rel. Min. Rosa Weber, j. 27/03/2019, P, DJE de 28/06/2019) (Grifo meu)

Veja, com a rejeição parcial da MP 959/2020, o art. 65, II, da LGPD – alterado pela MP 959/2020 com a finalidade de prorrogar a vigência da Lei – volta a ter eficácia e, com base na sua redação original, a LGPD entra em vigor em 24 meses após a sua publicação (16/08/2020) [4]. É por esse motivo que a vigência é retroativa. Atenção, não confunda com repristinação (art. 2º, § 3º, da LINDB), porque sequer houve revogação da Lei anterior, apenas a suspensão dos seus efeitos, da sua eficácia. Tampouco há efeito repristinatório, pois não ocorreu controle concentrado de constitucionalidade com a declaração de inconstitucionalidade de nenhuma norma.

Respira, não apavora. Conforme já adiantado, realmente, a Lei estará em vigor (após a sanção/veto do PR) desde o dia 16 de agosto deste ano, mas tem sua eficácia suspensa em virtude da MP 959/2020, enquanto ela produzir seus efeitos ao longo da sua vigência. Na prática, isso significa que a LGPD somente poderá ser aplicada após a sanção/veto do PLV. Evidentemente, não há que se exigir cumprimento da Lei antes disso, sob pena de ferir o princípio da legalidade (art. 5o, II, da CRFB/88) e provocar infundada insegurança jurídica, já que uma lei não pode prejudicar o direito adquirido, o ato jurídico perfeito e a coisa julgada (art. 5º, XXXVI, da CRFB/88). 

Além disso, a Lei de Introdução às normas do Direito Brasileiro (LINDB) é clara ao dispor no seu art. 6o que a Lei em vigor terá efeito imediato e geral, respeitados o ato jurídico perfeito, o direito adquirido e a coisa julgada. E logo no § 1º do art. 6o, da LINDB, o ato jurídico perfeito é definido como ” o já consumado segundo a lei vigente ao tempo em que se efetuou”. Também é importante destacar que não há direito adquirido pelas(os) titulares durante esse período nebuloso, pois a eficácia da LGPD está suspensa nesse prazo. E a coisa julgada não se aplica na análise desse caso.

Dessa forma, como a MP 959/2020 tem força de lei e prorroga o início da aplicação da LGPD enquanto esteve (e ainda está) vigente, as suas disposições constituem ato jurídico perfeito que deve ser respeitado [5] – o que importa dizer que a vigência da LGPD não produzirá efeito imediato a partir da sua entrada em vigor retroativa, uma vez que seus efeitos estão suspensos por força da MP. 

Repare que nem mesmo o Decreto Legislativo para modular os efeitos da MP 959/2020 poderá exigir o cumprimento da LGPD durante o período em que a Lei está em vigor com eficácia suspensa (de 16 de agosto até a assinatura do PR no PLV), porque o seu propósito é justamente conferir segurança jurídica para o período em que a MP esteve vigente, no caso, ele disciplinará a prorrogação da vigência da LGPD e não a sua aplicação. Então, não faria sentido o Decreto Legislativo disciplinar o contrário (a aplicação retroativa de uma Lei sem eficácia). Caso não seja editado em até 60 dias, as relações jurídicas constituídas e decorrentes de atos praticados durante a vigência da Medida Provisória conservar-se-ão por ela regidas (art. 62, § 11, da CRFB/88). Isto é, o ato jurídico perfeito impossibilita a aplicação da LGPD antes do fim dos efeitos da Medida Provisória, independente do Decreto Legislativo existir ou não [6].

A matéria deveria ter sido devolvida à Câmara dos Deputados?

Esse é outro ponto de cuidado. Ao declarar prejudicado o art. 4o do PLV oferecido à MP 959/2020, retirando-o do texto, por entender que a matéria já havia sido apreciada no PL 1179/2020 (art. 334, II, do Regimento Interno do Senado Federal), não houve inovação legislativa com a implicação de qualquer modificação do texto que justificasse o retorno da matéria para a Câmara, o que aconteceu foi a sua supressão (foi retirado do texto). Assim, de acordo com o § 4º do mesmo artigo do RISF, por se tratar de matéria prejudicada, ela é definitivamente arquivada. Isso significa que a matéria não precisaria ser devolvida à Câmara. 

E ainda que a mesa da Câmara tivesse impetrado (em tempo) um mandado de segurança questionando a não devolução da matéria, o STF já firmou entendimento no sentido da “impossibilidade de o Poder Judiciário analisar ou modificar a compreensão legitimamente conferida às previsões regimentais de organização procedimental pela Casa Legislativa, por tratar-se de matéria interna corporis” (MS 35581 AgR/DF, rel. Min. Luiz Fux. Julgado em 15/06/2018. DJE n. 124, publicado em 22/06/2018). Portanto, essa não é a via adequada para questionar normas regimentais. 

Com a eficácia plena da LGPD e sem a ANPD operando, como ficam as aplicação das sanções da LGPD e a judicialização das demandas?

Inicialmente, destaca-se que a aplicação das sanções administrativas da LGPD (arts. 52, 53 e 54 da LGPD) são de competência exclusiva da ANPD [7] e estão suspensas até o dia 1o de agosto de 2021, conforme disposto na Lei nº. 14.010/2020. Porém, isso não afasta a apreciação da matéria pelo judiciário, principalmente se estivermos diante de relações consumeristas e/ou estabelecidas na internet, que já possuem legislações plenamente aplicáveis em alguns casos de proteção de dados pessoais. 

Como se vê, o cenário é complexo, porque teremos uma Lei em vigor com eficácia plena em menos de 15 dias úteis e sem a ANPD operante para efetuar o enforcement da LGPD, bem como para exercer o seu papel educativo nas organizações; consolidar entendimentos; regulamentar alguns dispositivos da Lei e, sobretudo, para atender ao peticionamento quanto às violações aos direitos das(os) titulares, entre outras competências [8]. Isso acarreta muita insegurança jurídica e a possibilidade de imensa judicialização das demandas, conforme alertado por diversos especialistas.  

E mais, a proteção de dados foi reconhecida como direito fundamental autônomo em relação à privacidade pelo STF [9] e também dialoga intimamente com o direito do consumidor, bem como com o Marco Civil da Internet (MCI) e outras normas setoriais (veja o artigo que escrevi sobre isso). Logo, será possível evitar a judicialização em massa durante a ausência da ANPD?

Para evitar as demandas judiciais, as organizações precisam estar adequadas e implementar processos efetivos de garantia dos direitos das(os) titulares com transparência, a fim de estabelecer uma relação de confiança com as(os) titulares [10]. Sem isso, a judicialização será praticamente inevitável para alguns negócios [11].

Vale lembrar que, segundo Humberto Chiesi Filho, para justificar o ajuizamento de ações, deve ficar demonstrada a pretensão resistida, que só ocorre quando a(o) titular procura a organização e ela acaba violando a Lei e/ou os seus direitos [12]. A judicialização infundada de demandas deve ser evitada. Recorre-se ao judiciário quando não se consegue resolver os conflitos por vias extrajudiciais. Esse recurso não deve ser utilizado para o enriquecimento indevido.

Pois bem, a fim de minimizar esses riscos de múltiplos entendimentos na esfera judicial sem o respaldo da Autoridade, segundo a Vector [13], o Conselho Nacional de Justiça (CNJ) se manifestará nas próximas semanas com resolução orientando que a matéria não seja julgada enquanto as sanções administrativas não forem aplicáveis. Isso traz mais segurança jurídica, contudo, é uma orientação e não afasta a apreciação da matéria pelo judiciário, que somente poderá ser adiada.

Por outro lado, o Promotor de Justiça – Frederico Meinberg – do Ministério Público do Distrito Federal e Territórios (MPDFT) relatou ao Valor Econômico, no dia 28 de agosto, que a Autoridade irá “nascer fraca” e que o MP possui experiência há mais de 20 anos em casos envolvendo investigações sobre vazamento de dados. Por isso, complementa, com a LGPD em vigor, “essas medidas ganham mais força e mesmo as empresas já investigadas podem ser investigadas novamente” [14]. 

Isso ainda vai gerar muito debate. “Todos parecem reclamar para si uma fatia de protagonismo na efetivação dos direitos decorrentes da LGPD” [15]. E há previsão da atuação em conjunto da ANPD com outros órgãos e entidades que detêm competências sancionatórias e normativas em relação à proteção de dados pessoais [16] . Por enquanto, vamos acompanhar os casos de possíveis conflitos de competência – em especial enquanto a ANPD ainda não está operando – para saber como tudo isso será na prática. E claro, esperamos que a Autoridade se posicione e regulamente essas questões o quanto antes. Por óbvio, isso é preocupante, pois questões envolvendo conflito de competência e superposição de sanções administrativas tendem a ser judicializadas.

Em todo caso, somente a Autoridade pode aplicar as sanções administrativas da LGPD (suspensas até agosto de 2021). Nenhum outro órgão/entidade pode aplicar as sanções administrativas previstas na Lei, mas pode se valer de outras legislações para aplicar multas ou ingressar com ações judiciais devido à violação da proteção de dados pessoais, conforme dito antes.

Porém, fica a ressalva: já vimos diversos casos envolvendo a aplicação do disposto na LGPD antes da sua vigência – inclusive com a solicitação de Relatório de Impacto à Proteção de Dados (RIPD) [17]. Isso é inconstitucional e ilegal, por tudo o que tratamos aqui.

E a judicialização das demandas? É amiga(o), esse risco é significativo para alguns modelos de negócio e setores da economia e podem ser agravados a depender de como os dados são tratados, da sensibilidade dos dados, entre outros fatores, conforme mostrado acima e aprofundado no meu artigo anteriormente mencionado. Tem como evitar, há diversas medidas que as organizações podem tomar para mitigar riscos (também no artigo).

Conclusão

Como vimos, a entrada em vigor de modo retroativo não gera quaisquer efeitos práticos, na medida em que a LGPD só pode ser aplicada após a sanção/veto do Presidente da República ao PLV, em respeito aos princípios constitucionais da legalidade e da segurança jurídica, assim como ao ato jurídico perfeito. É por esse motivo que a Lei somente poderá ser aplicada a partir do fim dos efeitos gerados pela MP no mundo jurídico quanto à prorrogação da vigência da LGPD. Lembrando que a aplicação das sanções administrativas da Lei é de competência exclusiva da ANPD e estão suspensas até agosto do próximo ano.

Assim, o Senado não deixou outra saída senão a vigência da Lei. Repare que não há a possibilidade do Presidente vetar um artigo que não consta do texto que ele irá assinar. Ainda, é vedada a reedição, na mesma sessão legislativa, de MP que tenha sido rejeitada (art. 62, § 10, da CRFB/88). Por isso, a LGPD é, de fato, uma realidade muito próxima e envolve vários riscos aos negócios que não se adequarem. Não tem pra onde fugir, apenas se preparar, se ainda não o fez. Não entre em pânico, apenas corra atrás da sua conformidade com a Lei que vai dar tudo certo!

——————————————-

[1] A data originalmente definida na MP 959/2020 para a prorrogação da vigência da LGPD era 03/05/2021. Essa data foi modificada para 31/12/2020 pela Câmara dos Deputados no dia anterior à votação no Senado.

[2] O Projeto de Lei nº. 1.179/2020 agora é a Lei nº. 14.010/2020.

[3] Apesar do site do Senado informar que o prazo final seja dia 17/09/2020, dia 7 de setembro é feriado, então não conta como dia útil. Por isso o prazo final é dia 18 de setembro de 2020. A situação atual da MP 959/2020 está disponível em: https://www.congressonacional.leg.br/materias/medidas-provisorias/-/mpv/141753. Acesso em 30/08/2020.

[4] Fabrício Mota explica porque o prazo da vigência da LGPD é dia 16/08/2020 (não dia 14/08/2020), no seu artigo “Quando entrará em vigor a LGPD?”. Disponível em: https://pt.linkedin.com/pulse/quando-entrar%C3%A1-em-vigor-lgpd-fabricio-da-mota-alves. Acesso em: 30/08/2020.

[5] MACHADO, Hugo Brito. Efeitos de Medida Provisória Rejeitada. Migalhas. Disponível em: https://www.migalhas.com.br/depeso/100487/efeitos-de-medida-provisoria-rejeitada#:~:text=Se%20o%20Congresso%20Nacional%20deve,%C3%A9%20porque%20tais%20rela%C3%A7%C3%B5es%20sobrevivem.&text=E%20nesse%20disciplinamento%2C%20ou%20na,adquirido%20e%20a%20coisa%20julgada. Acesso em: 30/08/2020.

[6] Luis Prado e Paulo Vidigal também compartilham desse mesmo entendimento.

[7] A competência exclusiva da ANPD é explícita no art. 55-k da LGPD e foi confirmada pelo Decreto n. 10.474/2020, que estruturou a Autoridade. Vejamos: a ANPD detém competência exclusiva da Autoridade para a aplicação das sanções previstas na LGPD e suas competências prevalecem, no que se refere à proteção de dados pessoais, sobre as competências correlatas de outras entidades ou órgãos da administração pública (art. 2o, § 7º, do Decreto n. 10.474/2020).

[8] ROGENFISCH, Sandra. A ANPD e a omissão do executivo. Opice Blum Academy. Disponível em:  https://opiceblumacademy.com.br/2020/08/anpd-omissao-executivo/#:~:text=%C3%80%20ANPD%20foi%20atribu%C3%ADda%20compet%C3%AAncia,medidas%20de%20seguran%C3%A7a%3B%20promover%20e. Acesso em 30/08/2020.

[9] DONEDA, Danilo. STF reconhece o direito fundamental à proteção de dados. Publicado em: 09/05/2020. Disponível em: http://www.doneda.net/2020/05/09/stf-reconhece-o-direito-fundamental-a-protecao-de-dados/. Acesso em: 30/08/2020.

[10] MENDONÇA, Cristiane Terra. (LGPD) Como se diferenciar no mercado e mitigar riscos: os impactos da transparência nos negócios. Disponível em: https://www.cristianeterra.com.br/2020/07/02/lgpd-como-se-diferenciar-no-mercado-e-mitigar-riscos-os-impactos-da-transparencia-nos-negocios/. Acesso em 30/08/2020.

[11] MARTINS, Ricardo Maffeis; VAINZOF, Rony. Sanções e judicialização em massa: que este não seja o ‘novo normal’ da LGPD. Disponível em: https://www.conjur.com.br/2020-ago-05/martins-vainzof-judicializacao-nao-seja-normal-lgpd. Acesso em 30/08/2020.

[12] CHIESI FILHO, Humberto.  Um novo paradigma de acesso à justiça. Belo Horizonte: Ed. D´Plácido, 2020, p. 147-148.

[13] https://vectorrelgov.com.br/

[14] IGNÁCIO, Laura. Empresas correm risco com a vigência da LGPD. Disponível em: https://valor.globo.com/legislacao/noticia/2020/08/28/empresas-correm-risco-com-vigencia-da-lgpd.ghtml. Acesso em 30/08/2020.

[15] PINHEIRO et al. ANPD: uma necessidade de convergência entre CADE, Anatel e Senacon. Publicado em: 20/10/2019. Disponível em: https://www.jota.info/opiniao-e-analise/artigos/anpd-uma-necessidade-de-convergencia-entre-cade-anatel-e-senacon-20102019. Acesso em: 02/07/2020.

[16] Isso está previsto tanto na LGPD (art. 55-k, parágrafo único), quanto no Decreto que estruturou a ANPD (art. 2o, § 8º, do Decreto n. 10.474/2020). A ANPD articulará sua atuação com outros órgãos e entidades com competências sancionatórias e normativas afetas ao tema de proteção de dados pessoais e será o órgão central de interpretação da Lei nº 13.709, de 2018, e do estabelecimento de normas e diretrizes para a sua implementação.

[17] DIONÍSIO, Renan. MP acusa Vivo de usar localização de usuários para publicidade direcionada. Disponível em: https://www.uol.com.br/tilt/noticias/redacao/2019/08/01/ministerio-publico-do-df-pede-que-servico-da-vivo-seja-suspenso.htm. Acesso em 30/08/2020.

Que bafão: o CADE quer ser a ANPD!

Às vésperas da votação da MP n. 959/2020, que trata do adiamento da Lei Geral de Proteção de Dados (LGPD) para 3 de maio de 2021, em documento ainda não divulgado[1], o Conselho Administrativo de Defesa Econômica (CADE) posiciona-se como Autarquia apta a exercer o papel da Autoridade Nacional de Proteção de Dados (ANPD), que já foi criada por Lei, mas até o momento não conta com qualquer estrutura, somente com poucos nomeados para o Conselho Nacional de Proteção de Dados (CNPD), que, aliás, não foi citado na proposta do CADE. 

E mais, o CADE cita que, se acatada a sua proposta, mediante processo legislativo, e iniciasse seu planejamento em setembro; em janeiro de 2021, já estaria à pleno vapor atuando como Autoridade de proteção de dados. Sob o objetivo de agregar duas políticas autônomas (proteção de dados e antitruste) integradas na mesma autarquia, o documento descreve que seriam economizados 108 milhões de reais, sendo que o custo da Política de Proteção de Dados incorporada ao CADE seria de 17 milhões de reais. Para tanto, aponta como recursos disponíveis o Orçamento Anual Prodoc (PNUD) e o Fundo de Direitos Difusos (FDD). Que bafão! E agora, isso é bom ou ruim? Vamos ver!

Como se sabe, a ANPD é peça fundamental para que a LGPD tenha eficácia e segurança jurídica na sua aplicação (enforcement) (VAINZOF, 2020, n.p). Inclusive, esse é um dos maiores impasses à entrada em vigor da LGPD. É por esse motivo que ainda hoje se discute a data da vigência da Lei. E, claro, porque existem vários setores que estão pressionando os Poderes Legislativo e Executivo para adiar a sua vigência, tendo em vista a crise causada pela pandemia e os elevados custos para entrar em conformidade com a Lei [2] (compliance em proteção de dados pessoais), entre outros interesses.

A fim de ocupar essa lacuna de poder – disputada por diversos órgãos e entidades – (PINHEIRO et al., 2019, n.p) o CADE se pronunciou no sentido de incorporar as competências da ANPD. No documento, ele cita que possui experiência e estrutura adequada e já constituída, o que representaria a economia de 2 a 3 anos de maturidade. Ainda dispõe que as atividades do CADE hoje são compatíveis com aquelas designadas à Autoridade, além de possuir 23 das 24 competências destinadas à ANPD. Diz, ainda, que é uma Autarquia reconhecida nacional e internacionalmente por sua atuação e, em especial, é independente. Esse último, de acordo com diversos especialistas, é um requisito fundamental para que tenhamos uma ANPD séria e conforme parâmetros internacionais. 

Segundo a proposta, haveria a criação de uma segunda Superintendência-Geral de Proteção de Dados e o reforço do quadro do Tribunal Administrativo e do Departamento de Estudos Econômicos. Também é citada a incorporação ao Conselho do Tribunal Administrativo do Cade das funções previstas aos membros do Conselho Diretor da ANPD. Opa, especialistas em proteção de dados serão nomeados para o Conselho do Tribunal, para atuar só como Diretor(a) da Autoridade? O que seria ideal. Ou, caso a escolha das(os) Diretoras(es) seja um processo interno entre seus membros, sob quais critérios os 5 diretores da ANPD serão escolhidos? O Presidente do CADE será o Diretor-Presidente da Autoridade? E o CNPD? 

Conforme citado no estudo, tal como ocorre com a Federal Trade Commission (FTC) norte americana e com a Australian Competition and Consumer Commission (ACCC), algumas autoridades antitrustes atuam com proteção de dados, concorrência e consumidor. À princípio, isso não representaria um problema – sendo inclusive um movimento crescente em outros países [3] – e teríamos uma vitória significativa quanto à constituição “em tempo recorde”, segundo o próprio CADE, também quanto à independência da Autoridade.

Contudo, vale ressaltar que não basta montar uma estrutura separada e independente, tem que garantir a competência na tomada de decisões sobre proteção de dados, que não faz parte originalmente da linha de atuação do CADE. Então, para garantir uma ANPD competente de fato, o Conselho Diretor da Autoridade (arts. 55-C e 55-D, da LGPD) deve ser qualificado e possuir capacidade técnica para lidar com a temática, que não necessariamente está ligada à análise econômica e concorrencial, tema de sua atuação hoje. Logo, é fundamental que o corpo do Conselho Diretor da Autoridade seja composto por pessoas capacitadas na área.

Ainda, deve-se atentar que, no âmbito concorrencial, a atuação do CADE é sinérgica na aplicação de sanções, diga-se de passagem, são bem elevadas. Isso chama a atenção, porque, em nenhum momento, o documento citou o papel educacional da Autoridade. Ao contrário, citou diversas vezes o uso do poder sancionatório e a aplicação de multas por outras autoridades.

Por fim, destaca-se que, segundo o art. 20 da Lei n. 12.529/2011, o Ministério Público Federal (MPF), em atuação perante o CADE como fiscal da Lei, emite pareceres (não vinculativos) nos processos administrativos para imposição de sanções administrativas por infrações à ordem econômica e pode ser que ocorra quanto à garantia da proteção de dados, já que a atuação do MPF foi abordada no documento. Também, o MPF pode investigar, instaurar inquérito e ingressar com processos judiciais, em defesa dos direitos difusos e para cumprir as suas competências na seara penal. Ou seja, agora eles estariam mais próximos do que nunca na defesa dos direitos difusos ligados à proteção de dados pessoais e ações antitruste. 

Como se vê, há diversos pontos positivos em ter o CADE como Autoridade de Defesa da Concorrência e Proteção de Dados (foi assim denominada no documento), mas ficam registradas também algumas inquietações que aguardam respostas. E agora, será que veremos uma reviravolta nas discussões sobre o adiamento da LGPD? Veja, isso pode influenciar significativamente a votação da MP n. 959/2020 e da PEC 17/2019. Vejo luz, vamos acreditar!

[1] Apesar de não ter sido divulgado oficialmente, a existência de tal documento pode ser verificada em artigo publicado há pouco no Jota. (LEORATTI, Alessandro; PIMENTA, Guilherme, 2020, n.p)

[2] R7. Entidades pedem prorrogação de vigência da Lei Geral de Proteção de Dados. Disponível em: https://noticias.r7.com/brasil/entidades-pedem-prorrogacao-de-vigencia-da-lei-de-protecao-de-dados-10062020. Acesso em 17/08/2020.

[3] Disponível em: https://news.law.fordham.edu/jcfl/2020/04/01/is-privacy-an-antitrust-issue-a-growing-movement/. Acesso em: 17/08/2020.

Bibliografia

BRASIL, Assembleia Legislativa. Lei 13.709/2018. Regulamenta a proteção de dados. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 17/08/2020.

LEORATTI, Alessandro; PIMENTA, Guilherme. Cade sugere mudança na lei para atuar como autoridade de proteção de dados. JOTA. Disponível em: https://www.jota.info/paywall?redirect_to=//www.jota.info/tributos-e-empresas/concorrencia/autoridade-de-protecao-de-dados-cade-17082020. Acesso em 17/08/2020.

PINHEIRO et al. ANPD: uma necessidade de convergência entre CADE, Anatel e Senacon. Publicado em: 20/10/2019. JOTA. Disponível em: https://www.jota.info/opiniao-e-analise/artigos/anpd-uma-necessidade-de-convergencia-entre-cade-anatel-e-senacon-20102019. Acesso em: 17/08/2020.

R7. Entidades pedem prorrogação de vigência da Lei Geral de Proteção de Dados. Disponível em: https://noticias.r7.com/brasil/entidades-pedem-prorrogacao-de-vigencia-da-lei-de-protecao-de-dados-10062020. Acesso em 17/08/2020.

VAINZOF, Roni. A prorrogação das sanções da LGPD e a relevância da ANPD. CONJUR. Publicado em: 12/06/2020. Disponível em: https://www.conjur.com.br/2020-jun-12/rony-vainzof-lgpd-relevancia-anpd. Acesso em: 17/08/2020.

(LGPD) Como se diferenciar no mercado e mitigar riscos: os impactos da transparência nos negócios

Privacy Play (Parte I)

Privacy Play (Parte II):

Privacy Play (Parte III):

Artigo completo

A transparência é a “alma” da Lei Geral de Proteção de Dados (LGPD) e a garantia dos direitos das(os) titulares é a sua própria razão de existir. Quanto mais claro e transparente você for no tratamento de dados pessoais, mais satisfeito ficará a(o) titular de dados e menos esforço, tempo e dinheiro será gasto com a garantia dos seus direitos. Certamente, isso tem significativo impacto em boa parte dos negócios. 

Observe que o art. 50, I, “e”, da LGPD, por exemplo, prevê a implementação de um programa de governança em privacidade de dados pessoais que tenha, no mínimo, o objetivo de estabelecer uma relação de confiança com a(o) titular – por meio de atuação transparente e que assegure mecanismos de participação da(o) titular – e que demonstre o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais (art. 50, I, “a”, da LGPD).

Por isso, a transparência não pode ser uma letra morta em uma organização. Ela deve fazer parte da sua estrutura e da sua atuação e ter como objetivo estabelecer uma relação de confiança com a(o) titular de dados. Logo, as informações sobre os tratamentos de dados devem objetivar a compreensão plena e eficiente de como os dados são tratados (MENDONÇA, 2019, n.p). Como disse Viviane Maldonado, recentemente, no Seminário Serpro de LGPD, “o titular dos dados pessoais está no centro do palco da legislação” (SERPRO, 2020, n.p).

Na minha última publicação (aqui), o art. 9o, VII, da LGPD, foi analisado sob uma perspectiva mais abrangente, no sentido de que todos os direitos das(os) titulares de dados pessoais deveriam ser informados, e não só os direitos elencados no art. 18 da Lei, tendo em vista o propósito da LGPD; os seus princípios; a autodeterminação informativa; a boa-fé; a governança de dados; as boas práticas e a própria lógica do art. 9o da Lei (MENDONÇA, 2020, n.p). Certo, mas por que informar aqueles direitos que não se aplicam ou que ainda estão pendentes de regulamentação?

A base para essa resposta é a mesma, com uma pitada de realidade. Então, o que vale mais a pena? Comunicar – com transparência – as informações sobre o tratamento de dados e todos os direitos, justificando aqueles que não se aplicam, evitando, assim, diversas solicitações e alguns riscos? Ou receber inúmeras demandas de titulares e ter que informá-las(os) – individualmente – o que poderia ter sido divulgado com clareza para todas(os) as(os) titulares dos dados tratados? 

Para que informar a base legal?

Note que o mesmo ocorre com a informação acerca da base legal do tratamento. Também não está expresso no texto do art. 9o da LGPD, conforme perfeitamente ilustrado por Paulo Vidigal (VIDIGAL, 2019, n.p). Porém, na prática, é possível não informar? Se um direito não se aplica por ter como fundamento outra base legal, a empresa terá que explicar isso à(ao) titular quando solicitado. 

Por sua vez, alguns direitos estão diretamente relacionados a certas bases legais. Esse é o caso do direito à cópia eletrônica integral dos dados – que só se aplica quando o tratamento tiver origem em consentimento ou contrato (art. 19) – e dos direitos à revogação do consentimento (Art. 18, IX) e à informação sobre a possibilidade de não fornecer o consentimento e sobre as consequências da negativa (Art. 18, VIII), aplicáveis somente quando a base legal é o consentimento. Também é o caso do direito de opor-se ao tratamento (art. 18, §2º) – que  somente é aplicado nas hipóteses de dispensa do consentimento, quando a LGPD é descumprida.

Marcel Leonardi, ressalta que, equivocadamente, muitas pessoas acham que o consentimento é a única base legal para o tratamento de dados, por ser a mais popular e a única base legal para tratamentos de dados estabelecida no Marco Civil da Internet (MCI). Além disso, ele lembra que a transparência deve ser observada qualquer que seja a base legal do tratamento, pois

“[…] o princípio de qualquer lei de proteção de dados é a transparência. Mesmo que o controlador não precise da permissão do titular, será preciso dar transparência para todo o processo. Avisar em algum lugar o que está acontecendo. E é aí que começa o debate sobre se o tipo de aviso que está sendo dado é bom o ruim” (DE LUCA, 2019, n.p.).

Então, veja a importância de informar a base legal e de ser transparente quanto ao tratamento de dados, independente do fundamento legal do tratamento de dados. Ora, se vai ter que informar de todo jeito, que tal aproveitar essa oportunidade para mitigar riscos e ainda ganhar a confiança das(os) titulares? 

De toda forma, essa é uma decisão que deve ser tomada por cada estabelecimento, de acordo com o nível de transparência, accountability e com o seu apetite de risco (ZANATTA, 2017, n.p). De fato, não se tratam de obrigações abordadas de forma expressa no texto do art. 9o da Lei. É uma interpretação baseada em vários dispositivos e diretrizes da Lei, o que não deixa de ser uma obrigação legal expressa da LGPD, só não está tão clara no art. 9o da norma. 

Para ficar mais lúdico e fácil de entender, vamos simular um caso, como se a LGPD estivesse em vigor e a Autoridade Nacional de Proteção de Dados (ANPD) estivesse devidamente constituída.

O curioso caso de Joana Sabichona e a Plataforma Quase Lá

Joana Sabichona, titular de dados pessoais tratados pela Plataforma Quase Lá, é cliente há 2 (dois) anos e solicita à empresa informações sobre os tratamentos dos seus dados pessoais, com base no princípio do livre acesso (art. 6o, IV, LGPD); no direito de acesso aos dados (art. 18 I e §3º) e de acesso facilitado, nos termos do art. 9o, da LGPD. 

A Quase Lá responde à sua solicitação em 17 (dezessete) dias, informando que os dados tratados são: nome, CPF, IP, endereço, orientação sexual, raça, e-mail, telefone, dados bancários, registros de acesso e dados de transações financeiras realizadas na plataforma.

Ela informa de forma resumida, que os dados são tratados com a finalidade de prestar os seus serviços, bem como de enviar propagandas de produtos e serviços que podem interessar Joana. Também indica que os referidos dados ficarão armazenados por 5 (cinco) anos, de acordo com a prescrição prevista no art. 27 do Código de Defesa do Consumidor (CDC), e que todos os seus dados serão eliminados de modo seguro após esse prazo. Ainda, diz que não recebe dados de terceiros, que compartilha dados com parceiros e fornecedores (sem indicar quem são) e que não faz transferência internacional de dados. Finalmente, cita apenas os direitos do art. 18 da LGPD, as suas responsabilidades quanto ao tratamento de dados pessoais e as medidas de segurança.

Após receber a sua resposta, Joana, ciente de todos os seus direitos e não só os do art. 18 da Lei, reclama do prazo superior a 15 (quinze) dias para a declaração incompleta dos tratamentos dos seus dados, argumentando que tudo o que foi informado está na Política de Privacidade da Plataforma e que as informações foram prestadas de forma simplificada e, nesse caso, deveriam ter sido disponibilizadas imediatamente e não em um prazo inclusive superior a quinze dias.

Joana pede a eliminação dos dados relacionados à orientação sexual e raça, alegando que esses dados são sensíveis e não são necessários, nem adequados para finalidade genérica informada. Ainda, com base no seu “direito à explicação” (MONTEIRO, 2018, n.p), requer explicação sobre os critérios e procedimentos utilizados para a tomada de decisões automatizadas; solicita o OPT-OUT, para não receber mais propagandas; e requer sejam apagados todos os seus dados pessoais, após a portabilidade imediata à Startup “Transparência Total”, do mesmo ramo, porque não gostou da falta de transparência da empresa e do descumprimento da LGPD. 

Vamos lá, respondendo à segunda solicitação de Joana, a Plataforma informa que lamenta o atraso da sua resposta e que não tem condições de dar cumprimento imediato à portabilidade dos seus dados pessoais à empresa Transparência Total, já que está pendente de regulamentação pela ANPD. 

Além disso, informa que não poderia apagar os seus dados necessários à prestação de serviço, devendo guardá-los (para outras finalidades não informadas antes) pelo prazo de 5 (cinco) anos (prescrição do art. 27 do CDC), com base no exercício regular de direito da empresa em caso de eventual processo judicial e/ou administrativo, e alguns dados referentes ao registro de acesso à plataforma (IP, data e hora), por 6 (seis) meses, para o cumprimento de obrigação legal, conforme art. 15 do MCI. Garante, ainda, que apagaria rapidamente os dados tratados em excesso (orientação sexual e raça) e que Joana não receberia mais propagandas dos seus serviços. Por fim, expõe que não há tomada de decisão automatizada no tratamento dos seus dados.

Não satisfeita, ao lembrar do direito de acesso à cópia eletrônica integral dos dados e da garantia de qualidade dos dados (art. 6º, V, da LGPD), bem como da ausência de informação quanto aos terceiros com quem seus dados são compartilhados, Joana faz seu terceiro chamado, requerendo cópia eletrônica integral dos seus dados (art. 19, § 3º, da LGPD), identificação e contato dos encarregados dos outros controladores de dados e a finalidade do compartilhamento (art. 9º, IV e V, da LGPD). Pede também que a Quase Lá comunique todos os terceiros (controladores e operadores) para que eliminem os seus dados.

Mais uma vez, a Plataforma violou os direitos de Joana, atendendo parcialmente o seu pedido em 90 (noventa) dias. Em resposta ao seu terceiro chamado, ela entrega a cópia eletrônica dos seus dados (mesmo pendente de regulamentação pela ANPD), comunica quem são os seus parceiros, diz que já os informou acerca da exclusão dos dados e justifica a finalidade do compartilhamento de maneira genérica. Repassa o contato geral de todos os terceiros, sem indicar quem são os outros controladores e sem o contato específico dos encarregados (ou DPO’s), pois boa parte dos terceiros sequer tem encarregado de dados. 

Desconfiada de que os terceiros não haviam cumprido o seu pedido, ela volta a entrar em contato com a empresa (pela quarta vez), solicitando comprovação de que eles teriam, de fato, apagado os seus dados. Além disso, pede prova acerca da eliminação dos dados tratados em excesso (orientação sexual e raça) pela Quase Lá, com base no princípio de responsabilização e prestação de contas (art. 6o, X, da LGPD) e no dever do controlador de informar imediatamente os outros agentes do cumprimento dos seus direitos, conforme disposto no § 6º do art. 18, da LGPD.

Diante disso, a Plataforma somente juntou cópias de e-mails solicitando o cumprimento dos direitos de Joana, sendo que a maior parte deles não tinha o retorno com a confirmação do terceiro. Realmente, o pedido foi feito, mas o seu cumprimento não foi devidamente comprovado. Igualmente, quanto à eliminação dos dados tratados em excesso, a empresa apenas juntou a cópia de um e-mail de confirmação da área de tecnologia, afirmando ter deletado os dados dela. 

Repare que a empresa não havia informado os direitos de portabilidade de dados e informações sobre os critérios e procedimentos na tomada de decisões automatizadas, tão pouco o prazo de 15 (quinze) dias para ter acesso à declaração completa dos dados tratados e o seu dever de de informar imediatamente os outros agentes do cumprimento dos seus direitos, demonstrando a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas. E todos eles foram requisitados.

A Quase Lá demorou 90 (noventa) dias para atender o seu pedido de cópia eletrônica integral dos dados (a Lei não estipula um prazo certo, mas deve ser feito em prazo razoável) e seus outros pedidos. Não comprovou que ela e os terceiros cumpriram com a eliminação dos dados e não alegou nada sobre a finalidade genérica dos tratamentos e do compartilhamento de dados. Só informou quem são os terceiros com quem ela compartilha dados na sua terceira solicitação (de modo incompleto) e só informou a base legal para a retenção dos dados quando requisitada para a eliminação dos seus dados, após a portabilidade à Startup Transparência Total. No entanto, para alguns dados, tratava-se de obrigação legal (MCI) e, para outros, exercício regular de direito. Então, não ela tinha como dar cumprimento a esse direito. Mas por que não informou antes que a guarda era obrigatória? 

Como se vê, a empresa violou diversos dispositivos da LGPD, inclusive alguns expresso no art. 9o da norma. Somado a isso, ela tem um nível baixo de transparência e de comprometimento com os direitos das(os) titulares e o art. 9o da LGPD não traz a boa parte dessas exigências – de forma expressa – para o controlador de dados. Contudo, ela teve que informar e justificar itens que poderiam ter sido amplamente divulgados na sua Política de Privacidade, mesmo os direitos que não se aplicam ao tratamento ou aqueles que não constam do art. 18 da Lei, correto?

Os riscos envolvidos: os impactos da falta de transparência e da violação dos direitos das(os) titulares de dados

Agora, Joana está insatisfeita com a postura da empresa e com a demora para ter garantidos os seus direitos. E o pior, ela detém diversas provas das violações e de que a Quase Lá está descumprindo a legislação. 

Isso é extremamente prejudicial para a Plataforma e representa um risco à sua reputação e, especialmente, para a relação com clientes, já que as suas atitudes reforçam a ideia de que a empresa não está sendo transparente o suficiente e não está demonstrando respeito com a garantia dos direitos das(os) titulares. Sem falar das outras consequências: (i) ela pode peticionar perante a ANPD (risco: multa por infração e outras sanções); e/ou (ii) ela pode acionar o PROCON (risco: processo administrativo e multa, em ação conjunta com a ANPD); e/ou (iii) ela pode ajuizar uma ação contra a Quase Lá por violar os seus direitos como titular de dados (risco: ela ser indenizada pelo mero descumprimento da LGPD) e/ou (iv) a Quase Lá pode ser investigada pelo Ministério Público (risco: inquérito/processo judicial e multa).

Muito embora a ANPD tenha competência exclusiva para a aplicação das sanções da LGPD (caput do art. 55-k), a sua atuação acontecerá em conjunto com outros órgãos e entidades que também detêm competências para aplicar sanções e editar normativas sobre o tema de proteção de dados (art. 55-k, parágrafo único). Esse é o caso dos PROCONs, da Secretaria Nacional do Consumidor (SENACON), do Conselho Administrativo de Defesa Econômica (CADE), de algumas agências reguladoras e de outros órgãos/entidades da Administração Pública (PINHEIRO et al., 2019, n.p).

“Todos parecem reclamar para si uma fatia de protagonismo na efetivação dos direitos decorrentes da LGPD” (PINHEIRO et al., 2019, n.p). E dependemos da devida constituição da ANPD para saber como isso será efetivado na prática, especialmente na esfera administrativa, para evitar a superposição das sanções (PINHEIRO et al., 2019, n.p).

Lembrando, ainda, que as esferas administrativa e judicial são independentes. No caso da Quase lá, os riscos envolvidos são: (i) sanções administrativas (pela ANPD/PROCON); (ii) processos judiciais individuais ou coletivos (de Joana e outras(os) titulares) e (iii) ser investigada, ter um inquérito aberto e ser processada pelo Ministério Público.

Quanto às indenizações de titulares, é importante destacar que o texto da LGPD não trata da responsabilidade objetiva (independente de culpa), de forma clara, exceto quando se trata de relações consumeristas (FERREIRA, 2019, n.p). As hipóteses de violação do direito do titular no âmbito das relações de consumo, de acordo com o art. 45 da LGPD, permanecem sujeitas à responsabilidade objetiva e solidária do Código de Defesa do Consumidor (CDC), a fim de proteger a(o) titular, a parte (hiper)vulnerável da relação (BIONI, 2019, p. 155). 

Observe que a LGPD menciona explicitamente a responsabilidade solidária – pontuando algumas hipóteses de exclusão -, mas a Lei não cita expressamente a responsabilidade objetiva. Podemos entender que a responsabilidade é subjetiva (mediante comprovação de culpa ou dolo) nos demais casos? Não necessariamente. Apesar de ser um tema controverso, existe o risco de vários tribunais entenderem que o tratamento de dados pessoais é uma atividade de risco e, portanto, estaríamos diante de uma responsabilidade objetiva, em qualquer caso (PRIVACY CHALLENGE, 2020). Inclusive, esse é o posicionamento do legislador, conforme consta do relatório do projeto de lei da LGPD (Relator Deputado Federal Orlando Silva):

“A atividade de tratamento de dados pessoais constitui atividade de risco, o que atrai a incidência da responsabilidade objetiva ao agente de tratamento, ou seja, aquela segundo a qual não há necessidade de perquirir a existência de culpa para obrigar o causador do dano a repará-lo. Esta já é a regra geral do direito brasileiro para toda e qualquer atividade de risco, conforme previsto no parágrafo único do art. 927 do Código Civil, como também constitui a base da responsabilização dos fornecedores nas relações de consumo” (BRASIL. CÂMARA DOS DEPUTADOS, 2016, p. 40-41)

E mais, recentemente, no julgamento do Recurso Especial nº 1.758.799-MG, de relatoria da Ministra Nancy Andrighi, a Terceira Turma do Superior Tribunal de Justiça (STJ) entendeu que a violação dos deveres associados ao tratamento – inclusive o dever de informar, sem o devido consentimento da(o) titular – configura dano presumido (in re ipsa) e independe de prova do dano. Esse precedente representa um risco muito alto e mais um motivo para se atentar à transparência e ao dever de informar. Vejamos:

“Assim, a inobservância de qualquer dos deveres associados ao tratamento (que inclui a coleta, o armazenamento e a transferência a terceiros) dos dados do consumidor – dentre os quais se inclui o dever de informar – faz nascer para este a pretensão de indenização pelos danos causados e a de fazer cessar, imediatamente, a ofensa aos direitos da personalidade” (STJ – Resp nº 1.758.799-MG, Rel. Ministra Nancy Andrighi, Data do Julgamento: 12/11/2019, Terceira Turma. Publicado no DJe em 19/11/2019).

Além disso, o risco relacionado à responsabilidade solidária e (talvez) objetiva, em caso de incidentes de segurança ou de descumprimento da Lei, provoca uma verdadeira pressão em toda a cadeia de fluxo de dados. Isso significa que as empresas que já estão em processo de adequação com a Lei não desejam correr riscos por terceiros, ou seja, caso os fornecedores e parceiros não demonstrem estar em processo de conformidade com a LGPD, há o risco dessas relações serem escanteiadas (BIONI, 2019, n.p). Essa é a seleção natural do próprio mercado em relação à conformidade em proteção de dados pessoais.

Com a entrada em vigor da Lei, é possível perceber que diversos outros riscos estão envolvidos na falta de transparência e na violação dos direitos das(os) titulares e que independem da ANPD estar constituída e quando as sanções administrativas serão aplicadas (VAINZOF, 2020, n.p).

Aliás, alguns desses riscos estão presentes mesmo antes da entrada em vigor da Lei, tendo em vista que a transparência e o direito à informação estão presentes tanto no CDC, quanto no MCI. A proteção e a privacidade de dados (art. 3º, II e III, do MCI) são princípios do MCI e estão presentes em diversos posicionamentos em defesa do consumidor, especialmente em casos envolvendo ambientes virtuais (MENDES, 2018, p.66). Também, o direito de acesso a informações claras sobre os dados pessoais e as respectivas fontes consta expressamente no CDC, no seu art. 43. No MCI, de forma mais específica, esse direito vem atrelado à finalidade, à minimização de dados (art. 7º, VIII, MCI) e ao dever de exclusão definitiva de dados ao término da relação entre as partes, com exceção da guarda legal obrigatória de dados (art. 7º, X, MCI). 

E olha que interessante, em 2010, a Escola Nacional de Defesa do Consumidor (ENDC) já havia se posicionado sobre a proteção de dados pessoais nas relações de consumo em ambientes virtuais, expandindo a interpretação do CDC, com o reconhecimento do princípio da finalidade, conforme se verifica do trecho a seguir, extraído do caderno de investigações científicas (volume 2):

“[…] cabe verificar que na doutrina podemos encontrar propostas para uma interpretação de caráter expansivo da normativa do Código de Defesa do Consumidor, de forma a identificar a presença dos princípios de proteção de dados pessoais que se comunicam a outras situações. Assim, por exemplo, entende-se a existência do princípio da finalidade, através da aplicação da cláusula da boa-fé objetiva e da própria garantia constitucional da privacidade, pelo que os dados fornecidos pelo consumidor deverão ser utilizados somente para os fins que motivaram a sua coleta […]” (BRASIL. Escola Nacional de Defesa do Consumidor, 2010, p. 52) (grifo meu).

Ou seja, independente de a Lei estar em vigor ou não, boa parte desses riscos já são reais hoje, principalmente para plataformas digitais. Confira, por exemplo, a forte atuação – em âmbito nacional e independente de provocação da(o) titular – do MPDFT, no caso da Vivo Ads, pela coleta supostamente ilegal de dados de perfil, de localização e de histórico de navegação para comercializar publicidade com terceiros, sem o consentimento expresso e, no caso da InLoco, que chegou a ser investigada, mas teve o seu inquérito arquivado, por ter cooperado e demonstrado boa-fé, boas práticas, transparência, governança em privacidade e cuidados especiais com a proteção dos dados tratados. Esse é um excelente caso para demonstrar o que estou frisando neste artigo: investir em proteção e privacidade de dados é extremamente vantajoso, uma verdadeira “janela de oportunidade” (BIONI, 2019, n.p).

Vale destacar também a atuação do Instituto Brasileiro de Defesa do Consumidor (IDEC), no caso da loja Hering, pela utilização de reconhecimento facial para fins de publicidade direcionada sem o consentimento expresso e, no caso da Linha-4 (amarela) do Metrô de São Paulo (SP), pela coleta de dados nas “portas interativas digitais” sem o devido consentimento da(o) usuária(o). Também, da SENACON, por meio do Departamento de Proteção e Defesa do Consumidor (DPDC), no caso do Facebook, pelo compartilhamento de dados das(os) usuárias(os) sem o seu consentimento e com finalidades não informadas e, no caso do Google, por haver indícios de violação à privacidade dos consumidores na análise do conteúdo dos e-mails pessoais, enviados por meio do Gmail, sem o consentimento expresso da(o) usuário. Tudo em defesa da proteção de dados pessoais, mesmo antes da LGPD entrar em vigor.

Além, claro, do reconhecimento expresso do direito fundamental à proteção de dados pelo Supremo Tribunal Federal (STF) (DONEDA, 2020, n.p), no julgamento das ADIs n. 6387, 6388, 6389, 6393, 6390, que suspendeu os efeitos da Medida Provisória n. 954/2020, a qual previa o compartilhamento de dados pessoais entre as empresas de telefonia e o Instituto Brasileiro de Geografia e Estatística (IBGE). 

Consegue perceber o impacto da transparência e da garantia os direitos das(os) titulares nos negócios? Alguns setores serão extremamente impactados; outros, menos. É verdade, por isso essa análise varia de acordo com cada estabelecimento, conforme o seu mercado, modelo de negócio, porte, bem como o tipo de tratamento, o volume de dados tratados e a sua sensibilidade, bem como o risco para as(os) titulares.

Em todo caso, a Quase Lá perdeu uma cliente pela falta de transparência e não observância da LGPD. Evidentemente, Joana é bem esclarecida a respeito dos seus direitos e estou ciente de que essa não é a nossa realidade. Veja, essa é mais uma razão para ser transparente, pois diversas outras solicitações podem ser muito mais trabalhosas, se a empresa não deixar tudo explícito tanto na sua Política, quanto nas suas respostas às(aos) titulares de dados.

É claro que não estou dizendo que todos os casos serão idênticos ao de Joana, ou que a transparência resolverá tudo e que não haverá mais solicitações de titulares. Com transparência, as solicitações continuarão existindo, mas tendem a ser em menor número e com menos retorno da(o) cliente solicitando mais informações. Se a Quase Lá tivesse informado tudo, de forma eficiente, em um primeiro momento (Política) ou até mesmo nas primeiras solicitações de Joana, todo esse processo seria simplificado e ela estaria satisfeita com o posicionamento transparente e atencioso da empresa, evitando as consequências ruins de titulares descontentes e a auditoria e sanções das Autoridades competentes. 

Pense que Joana é só uma pessoa e olha o trabalho que ela deu e ainda poderá dar, já que a sua solicitação não foi devidamente atendida. Agora, consegue imaginar várias “Joanas” pedindo, diariamente, o atendimento dos seus direitos e insatisfeitas com a falta de transparência e desrespeito da empresa? Qual seria o impacto disso no seu negócio? 

Lembre-se de colocar na conta o tempo e os recursos desprendidos para garantir parcialmente os direitos das(os) titulares, assim como a responsabilidade objetiva e solidária dos controladores e operadores de dados. E que a boa-fé e a adoção de políticas de boas práticas; de governança; de medidas corretivas; de cooperação e de mecanismos e procedimentos internos para minimizar danos são parâmetros importantes na dosimetria da aplicação das sanções e a reincidência é agravante (art. 52, § 1º, II, VIII e IX, da LGPD). Isso significa que a ausência dos fatores atenuantes e a presença de reincidência podem elevar significativamente as sanções aplicadas pela ANPD e as indenizações julgadas no judiciário. 

Como se diferenciar no mercado e mitigar riscos

Repare que, de forma alguma, a minha intenção é desencorajar ou colocar medo nas empresas. Pelo contrário, é mostrar que a chave para mitigar alguns riscos de grande impacto é a transparência na garantia dos direitos das(os) titulares de dados pessoais, para estabelecer uma relação de confiança, e a adoção das medidas atenuantes citadas aqui. Reflexo, claro, da implementação de um constante processo de conformidade da organização.

E que, cedo ou tarde, “a proteção de dados vai bater à porta de todos” (SERPRO, 2020, n.p), lembra Fabrício Mota; pois é uma pauta importante do mundo moderno e mais de 130 (cento e trinta) países já possuem legislação específica sobre o tema. Por que não aproveitar essa “obrigação legal” para se diferenciar no mercado? Segundo Renoir dos Reis, DevSecOps e gerente de produto do Eskive,

“lançar qualquer tipo de conteúdo ou solução que capture dados de usuários (sejam clientes ou não) em 2020 sem a efetiva necessidade e clara explicação não é só mais apenas um risco de compliance, e sim um enorme risco competitivo, financeiro e jurídico. Um exemplo muito claro de entendimento destes riscos é a forma como a Apple vem se posicionando em relação a privacidade, que se tornou um dos diferenciais mais valiosos que uma empresa pode oferecer aos consumidores de agora em diante” (SOUSA, 2020, n.p).

Então, que tal diminuir riscos e ainda lucrar com isso? Você sabia que, no Brasil, as empresas recebem, em média, US $ 3,30 para cada US $ 1 investido em privacidade de dados? E que a média global é de US $ 2,70? (CISCO, 2020).

Uau! De acordo com a pesquisa da CISCO (CISCO, 2020), o retorno do investimento em privacidade no Brasil é superior à média global. Logo, estamos falando de um relevante diferencial de mercado (BIONI, 2019, n.p) que merece toda a atenção! Como diria Bill Gates, “a chave do sucesso nos negócios é perceber aonde o mundo se dirige e chegar ali primeiro”. Vamos lá? 

Quer ver um exemplo de Política de Privacidade transparente, com menção a todos os direitos das(os) titulares, nos termos do MCI e conforme a LGPD, mesmo antes da sua entrada em vigor? Confira a Política em vídeo do meu site!

Referências 

BIONI, Bruno Ricardo. Proteção de Dados Pessoais: A Função e os Limites do Consentimento, Editora Forense, Rio de Janeiro, 2019.

BIONI, Bruno. Regulação de dados é uma janela de oportunidade. Publicado em 13/09/2019. Disponível em: http://genjuridico.com.br/2019/09/13/regulacao-de-dados-oportunidade/. Acesso em 02/07/2020.

BRASIL, Assembleia Legislativa. Lei 13.709/2018. Regulamenta a proteção de dados. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 02/07/2020.

BRASIL. Câmara dos Deputados. Relatório da Comissão Especial sobre o Projeto de Lei n. 40/60/12. Relator Deputado Federal Orlando Silva. Projeto de Lei n. 4060/2012. Publicado em 22/11/2016. Disponível em: https://www.camara.leg.br/proposicoesWeb/prop_mostrarintegra?codteor=1663305&filename=. Acesso em 02/07/2020.

CISCO. Cisco Data Privacy Benchmark Study 2020. Disponível em: https://www.cisco.com/c/dam/en/us/products/collateral/security/2020-data-privacy-cybersecurity-series-jan-2020.pdf. Acesso em 02/07/2020.

DE LUCA, Cristina. O legítimo interesse não é um cheque em branco para tratar dados pessoais. Publicado em 14/09/2019. Disponível em: https://porta23.blogosfera.uol.com.br/2019/09/14/o-legitimo-interesse-nao-e-um-cheque-em-branco-para-tratar-dados-pessoais/. Acesso em: 02/07/2020.

DONEDA, Danilo. STF reconhece o direito fundamental à proteção de dados. Publicado em: 09/05/2020. Disponível em: http://www.doneda.net/2020/05/09/stf-reconhece-o-direito-fundamental-a-protecao-de-dados/. Acesso em: 02/07/2020.

FERREIRA, Diogo Ramos. Responsabilidade civil dos agentes de tratamento de dados: subjetiva ou objetiva?. Publicado em: 20/11/2019. Disponível em: https://www.jota.info/opiniao-e-analise/artigos/responsabilidade-civil-dos-agentes-de-tratamento-de-dados-subjetiva-ou-objetiva-20112019. Acesso em 02/07/2020.

MENDES, Laura Schertel. “O diálogo entre o Marco Civil da Internet e o Código de Defesa do Consumidor.” Revista de Direito do Consumidor (2018), p. 66.

MENDONÇA, Cristiane Terra. Afinal, quais os direitos das(os) titulares de dados devem ser informados? Publicado em: 23/05/2020. Disponível em: https://www.cristianeterra.com.br/2020/05/23/afinal-quais-os-direitos-dasos-titulares-de-dados-devem-ser-informados/. Acesso em 02/07/2020.

MENDONÇA, Cristiane Terra. LGPD e MCI: Política de Privacidade antes da Lei Geral de Proteção de Dados entrar em vigor. Publicado em: 16/06/2020. Disponível em: https://www.youtube.com/watch?v=ETQpbRVdcxQ. Acesso em 02/07/2020.

MENDONÇA, Suzana. A autodeterminação informativa no contexto de proteção de dados pessoais. Publicado em: 20/10/2019. Disponível em: https://www.conjur.com.br/2019-out-20/suzana-mendonca-autodeterminacao-informativa-protecao-dados. Acesso em: 02/07/2020.

MONTEIRO, Renato Leite. Existe um direito à explicação na Lei Geral de Proteção de Dados do Brasil?. INSTITUTO IGARAPÉ. Artigo estratégico, v. 39, p. 1-14, 2018.

PINHEIRO et al. ANPD: uma necessidade de convergência entre CADE, Anatel e Senacon. Publicado em: 20/10/2019. Disponível em: https://www.jota.info/opiniao-e-analise/artigos/anpd-uma-necessidade-de-convergencia-entre-cade-anatel-e-senacon-20102019. Acesso em: 02/07/2020.

PRIVACY CHALLENGE com Guilherme Braguim. Instagram. Publicado em 10/06/2020. Disponível em: https://www.instagram.com/p/CBRelzxDVmO/. Acesso em: 02/07/2020. 

RAMOS, Pedro. A regulação de proteção de dados e seu impacto para a publicidade online: um guia para a LGPD. Publicado em: 16/07/2019. Disponível em: https://baptistaluz.com.br/institucional/a-regulacao-de-protecao-de-dados-e-seu-impacto-para-a-publicidade-online-um-guia-para-a-lgpd/. Acesso em 02/07/2020.

SERPRO. O recado foi dado: se ainda não começou, comece já e do jeito que der. Publicado em 20/05/2020. Disponível em: https://www.serpro.gov.br/lgpd/noticias/2020/titular-gestao-direitos-lgpd. Acesso em: 02/07/2020. 

SERPRO. O titular e a gestão de seus direitos. Publicado em 20/05/2020. Disponível em: https://www.serpro.gov.br/lgpd/noticias/2020/titular-gestao-direitos-lgpd. Acesso em: 02/07/2020.

SOUSA, Ramon. São necessárias 191 páginas para listar tudo o que o Spotify coleta sobre você. Publicado em 28/06/2020. Disponível em: https://thehack.com.br/sao-necessarias-191-paginas-para-listar-tudo-o-que-o-spotify-coleta-sobre-voce/amp/. Acesso em: 02/07/2020.

VAINZOF, Roni. A prorrogação das sanções da LGPD e a relevância da ANPD. Publicado em: 12/06/2020. Disponível em: https://www.conjur.com.br/2020-jun-12/rony-vainzof-lgpd-relevancia-anpd. Acesso em: 02/07/2020.

VIDIGAL, Paulo. Bases Legais: mapear ou não mapear, eis a questão. Publicado em: 11/12/2019. Disponível em:https://www.linkedin.com/pulse/bases-legais-mapear-ou-n%C3%A3o-eis-quest%C3%A3o-paulo-vidigal/. Acesso em 02/07/2020.

ZANATTA, Rafael AF. “PROTEÇÃO DE DADOS PESSOAIS COMO REGULAÇÃO DE RISCO: uma nova moldura teórica?”. ANAIS REDE 2017: 175.

(LGPD) Afinal, quais os direitos das(os) titulares de dados devem ser informados?

Você já se atentou para a leitura do inciso VII do art. 9o, da Lei Geral de Proteção de Dados (pessoais) (LGPD)? Como interpreta a expressão “com menção explícita aos direitos contidos no art. 18 desta Lei”? Você entende que apenas se deve informar à(ao) titular de dados os direitos do art. 18 ou todos os seus direitos?

Em observância à boa-fé, à autodeterminação informativa e aos princípios da transparência, do livre acesso e da responsabilização e prestação de contas, o art. 9o, da LGPD, atribui aos agentes de tratamento algumas exigências que demonstram o quão transparente eles devem ser quanto ao tratamento de dados pessoais, na medida em que devem conferir acesso facilitado às(aos) titulares acerca das informações dos tratamentos realizados, incluindo a finalidade específica (inciso I); a forma e duração do tratamento (inciso II); a identificação e contato do controlador (incisos III e IV); as informações sobre o compartilhamento de dados e a sua finalidade (inciso V); as responsabilidades dos agentes de tratamento (inciso VI) e os direitos das(os) titulares, com menção explícita aos direitos contidos no art. 18 desta Lei (inciso VII).

Contradizendo toda essa lógica baseada nos princípios da própria Lei, a redação do inciso VII deste artigo – aparentemente – restringe quais direitos deveriam ser informados expressamente às(aos) titulares, quando cita tão somente os direitos elencados no artigo 18 da Lei. Ocorre que há diversos outros dispositivos da Lei referentes aos direitos das(os) titulares, não se limitando aos direitos do art. 18 da LGPD. Isso significa, então, que os outros foram preteridos ou que não deveriam ser informados?

Muito embora os direitos do art. 18 sejam os mais conhecidos, eles não são mais importantes ou mais especiais que os outros. Evidentemente, não há hierarquia de direitos na Lei e, de acordo com os seus princípios e diretrizes normativas, o seu objetivo e razão de existir é a proteção e privacidade de dados pessoais e a garantia dos direitos expressamente definidos no seu texto. Assim, quando o agente de tratamento tem boa-fé e boas práticas, bem como transparência no tratamento de dados pessoais, não há razão para informar apenas alguns direitos, no caso, os do art. 18 da Lei.

Veja, o art. 19 da Lei complementa o art. 18, então, não faria sentido informar à(ao) titular os seus direitos, sem informá-la(o), por exemplo, de que forma poderá exercê-los ou qual seria o prazo para a sua resposta, como é o caso do direito de confirmação da existência de tratamento de dados e o direito de acesso aos dados, cujas informações são complementadas pelo art. 19, que trata do prazo de resposta – imediatamente, em formato simplificado, ou, em até 15 dias, contado da data do requerimento do titular -, por meio eletrônico ou sob forma impressa, com a declaração clara e completa, que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, observados os segredos comercial e industrial (art. 18, I e II e art. 19, I e II). O art. 19 ainda trata de outro direito relacionado aos direitos citados acima, o direito de solicitar cópia eletrônica integral de seus dados pessoais, quando o tratamento tiver origem no consentimento ou em contrato, observados os segredos comercial e industrial (§ 3º do art. 19).

Os outros direitos disciplinados nos arts. 18 são: o direito à correção de dados incompletos, inexatos ou desatualizados (art. 18, III); o direito à anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD (art. 18, IV); o direito à portabilidade de dados a outro fornecedor de serviço ou produto, desde que não tenham sido anonimizados (art. 18, V); o direito à eliminação dos dados pessoais tratados com o consentimento da(o) titular – exceto na hipótese de (i) cumprimento de obrigação legal ou regulatória pelo controlador, (ii) estudo por órgão de pesquisa, (iii) transferência a terceiro, desde que respeitados os requisitos de tratamento de dados da LGPD e (iv) uso exclusivo do controlador, desde que anonimizados os dados – (art. 18, VI); o direito à informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados (art. 18, VII); o direito à informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa (art. 18, VIII); o direito à revogação do consentimento (art. 18, IX)e, por fim, o direito de peticionar em relação aos seus dados contra o controlador perante a Autoridade Nacional (ANPD) (art. 18, § 1º).

Além dos direitos estabelecidos no art. 18 da Lei, alguns princípios do art. 6o, da mesma norma, também traduzem direitos das(os) titulares, em forma de garantia, tais como o livre acesso (inciso IV), o qual foi citado no caput do art. 9o; a qualidade dos dados (inciso V); a transparência (inciso VI) e a não discriminação (inciso IX).

Por sua vez, o próprio caput do art. 9o, da LGPD, estabelece o direito ao acesso facilitado às informações sobre o tratamento de seus dados, determinando, ainda, que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca de, entre outras características previstas em regulamentação para o atendimento do princípio do livre acesso.

Ainda, outros artigos da LGPD também se referem aos direitos das(os) titulares na LGPD: direito de liberdade, intimidade e de privacidade (art. 17); direito de solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, observados os segredos comercial e industrial (art. 20, caput); direito de solicitar informações claras e adequadas a respeito dos critérios e procedimentos utilizados para a decisão automatizada, observados os segredos comercial e industrial (art. 20, §1º); direito de não ter os seus dados pessoais referentes ao exercício regular de direitos pela(o) titular utilizados em seu prejuízo (art. 21) e direito de exercer em juízo, individual ou coletivamente, a defesa dos seus interesses e direitos (art. 22).

Dessa forma, à luz da boa-fé, das boas práticas, bem como dos referidos princípios e diretrizes normativas da Lei, o inciso VII do art. 9o, da LGPD, não pode ser interpretado de forma restritiva, no sentido de somente informar às(aos) titulares os direitos do art. 18 da Lei. Pelo contrário, deve ser entendido de modo abrangente, abarcando todos os direitos das(os) titulares e não exclusivamente os do art. 18 da LGPD.

Quer ver um exemplo de Política de Privacidade com menção a todos os direitos das(os) titulares, nos termos do MCI e conforme a LGPD, mesmo antes da sua entrada em vigor? Confira a Política em vídeo do meu site!

Referência:

BRASIL, Assembleia Legislativa. Lei 13.709/2018. Regulamenta a proteção de dados. Disponível em:<http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm>. Acesso: 23/05/2020.