Em 14.8.2018, foi sancionada a Lei nº 13.709/18, que tem por
objeto a ampliação da tutela de direitos de privacidade e sigilo de dados
pessoais (“Lei Geral de Proteção de Dados – LGPD”). A LGPD é resultado da
necessária preocupação da tutela específica desta espécie de direitos, haja
vista o avanço exponencial da utilização e do volume de informações e dados
desta natureza, utilizados para os mais diversos fins.
De fato, o crescimento e domínio das relações pela via eletrônica
é evidente, surgindo a cada dia novos produtos e ideias a respeito. Citando
questão recentíssima a respeito das inovações referentes a produtos e serviços
em que se verifica a necessidade de acesso a dados pessoais, destacamos a
iminente regulação pelo Banco Central de modelos de negócio baseados no
conceito de open banking.
Assumindo que a regulação do open
banking brasileira seguirá o modelo adotado na Europa (PSD2), as
instituições financeiras brasileiras serão obrigadas a abrirem suas APIs (Application Programming Interfaces),
de modo a permitir que aplicações desenvolvidas por terceiros (como por
exemplo, FinTechs de crédito ou mesmo bancos concorrentes) possam acessar os
dados dos seus clientes de modo fácil e direto, sem a necessidade de consultar
a instituição detentora dos dados – desde que tal acesso tenha sido autorizado
pelo cliente. Nesse sentido, a LGPD vem em boa hora, pois certamente conferirá
maior segurança jurídica a iniciativas como o open banking, entre outras.
Com efeito, até então, os Tribunais e autoridades, como as de
proteção do consumidor, aplicavam normas gerais de tutela em casos referentes à
proteção e sigilo de dados pessoais, tendo sido vedadas práticas como comércio
de base de dados e envio de publicidades e demais comunicações não autorizadas
expressamente pelo titular dos dados.
Posteriormente, deu-se o advento da Lei nº 12.965/14 (“Marco Civil
da Internet”), em que são expressamente preconizados os princípios da proteção
da privacidade e dos dados pessoais (artigo 3º, incisos II e III) e
inviolabilidade e sigilo do fluxo de comunicações instantâneas e armazenadas
(artigo 7º, incisos II e III).
Com inspiração no Regulamento Geral de Proteção de Dados da União
Europeia, a LGPD tem como principais pontos:
(i)
a
necessidade de prévio consentimento, expresso e estritamente específico, do
titular dos dados para qualquer operação de tratamento e utilização das
informações (artigo 7º, inciso I);
(ii)
a
obrigação de imediata exclusão de toda e qualquer informação armazenada após o
término da relação entre a pessoa e a entidade (artigo 60, inciso X, do Marco
Civil da Internet, introduzido pelo novo diploma);
(iii)
a
coleta dos dados estritamente necessários ao fim desejado pelo usuário (artigo
6º, inciso III); e
(iv)
a
permissão da transferência de dados pessoais apenas a países que apresentem um
nível adequado de proteção de dados, a fim de conferir uma segurança de caráter
universal, ante a globalidade do meio digital (artigo 33, inciso I).
Além disso, é imprescindível destacar que as entidades que
armazenarem dados pessoais, além de possibilitar suas correções por seus
titulares (artigo 18, inciso III), devem possuir uma sistemática de segurança
especialmente destinada à proteção dos dados pessoais de acessos externos e
ilícitos (artigo 6º, inciso VII) e, em caso de violação, comunicar
imediatamente o ocorrido, sob pena de responsabilização de todos os envolvidos
com o tratamento dos dados (artigo 42 e seguintes).
As penalidades previstas para infrações à LGPD (artigo 52) vão
desde advertências, que indicarão prazo para adoção de medidas corretivas, até
multas de até R$ 50.000.000,00 (cinquenta milhões de reais).
Apesar da recente sanção da LGPD, verifica-se a necessidade das
empresas que lidam com coleta de dados de seus clientes iniciarem, desde já, a
análise de seus processos internos a fim de se adequarem à Lei, analisando a
real necessidade de coleta desses dados, como se dará o tratamento e a manutenção
destes, os sistemas de segurança a respeito da guarda dos dados, as
comunicações entre as diversas áreas da empresa a respeito de dados armazenados
e principalmente sobre as informações e acessos a tais dados.
É fato que a tomada de medidas neste momento é um tanto ingrata,
uma vez que a LGPD depende em alguns pontos de normas regulamentadoras. Além
disso, em razão do veto presidencial, não se tem ainda a instituição da
Autoridade Nacional de Proteção de Dados (“ANPD”), sendo difícil prever qual
intepretação da LGPD será dada, bem como qual será a relação da ANPD com o
judiciário e outros entes da administração pública, a exemplo dos PROCONS.
Dessa forma, entendemos que a sanção da LGPD é oportuna, sendo um
marco importante da evolução legislativa do Brasil a respeito do tema.
Entretanto, muitos pontos sobre sua aplicação deverão ser amplamente discutidos
no período de vacatio legis
estabelecido, a fim de se tentar evitar qualquer insegurança jurídica a
respeito de sua aplicação.
André Muszkat - É advogado, mestrando em Direito Processual Civil
na PUC-SP. É especialista em Direito do Consumidor pela PUC-SP e em Contratos
Empresariais pela FGV-GV Law. Sócio do CSMV Advogados responsável pela
área Contenciosa Cível, atuante em questões de Responsabilidade Civil,
Direito do Consumidor, Recuperação de Crédito e Contencioso Societário.
Caio Barros
– É advogado, bacharel em Direito pela PUC-SP. Advogado do CSMV Advogados,
membro da área Contenciosa Cível. Atuante em questões de Recuperação de
Crédito, Direito do Consumidor, Responsabilidade Civil e Contencioso Societário.
Nenhum comentário:
Postar um comentário