A Lei 13.709/2018, denominada Lei Geral de Proteção
de Dados, foi inspirada no Regulamento (UE) 2016/679 do Parlamento Europeu de
27 de abril de 2016, o General Data Processing Regulation, que
é um regulamento do direito europeu, que entrou em vigor no dia 25 de maio de
2018, sobre privacidade e proteção de dados pessoais e que é aplicável a todos
os indivíduos da União Europeia e empresas que operem no Espaço Econômico
Europeu, independente do país de origem e revogou a Diretiva 95/46/CE.
A Lei Geral de Proteção de Dados tem como
fundamento a tutela aos direitos fundamentais de liberdade e de privacidade, ao
livre desenvolvimento da personalidade da pessoa natural e aos direitos
humanos, nos termos dos artigos 1º e 2º e é uma lei principiológica.
A principal preocupação da nossa legislação
brasileira, assim como do regulamento europeu, é a proteção da privacidade das
pessoas, dos titulares de dados. Na era da Big Data e com um ambiente de
globalização, o qual mitiga as fronteiras físicas, trazendo cada vez mais
vantagens para o comércio eletrônico e com uma economia totalmente baseada na
internet, cada vez mais dependente de dados, o escopo da proteção de dados
pessoais é transformar a Big Data em Small Data onde há
um maior cuidado no tratamento.
O campo por excelência de aplicação da Lei Geral de
Proteção de Dados ocorre nas relações de consumo, mas também se aplica às
relações jurídicas em geral, sempre que há tratamento de dados pessoais e dados
pessoais sensíveis, inclusive dos trabalhadores, nas relações de trabalho. A
Lei 13709/2019 não tratou de forma expressa, em seus dispositivos, as relações
de trabalho, diferente do Regulamento Geral de Proteção de Dados da União
Europeia, que traz norma expressa na nota inicial 13, com derrogação para as
organizações com menos de 250 trabalhadores, relativamente à conservação do
registro de atividades e no artigo 30, número 5, salvo se o tratamento implicar
risco para os direitos e liberdades do titular dos dados, para dados pessoais
sensíveis e tratamento de dados pessoais relacionados com condenações penais e
infrações. Ainda o artigo 88 do regulamento europeu foi destinado
especificamente às relações laborais e autoriza que as convenções coletivas de
trabalho tragam regras relativas ao tratamento para garantir a defesa dos
direitos e liberdades, no que diz respeito ao tratamento de dados pessoais dos
trabalhadores no contexto laboral, o que infelizmente não foi repetido na nossa
Lei Geral de Proteção de Dados.
A Lei Geral de Proteção de Dados, Lei 13709/2018,
tem como princípio basilar o da não discriminação, nos termos do artigo 6,
inciso IX, de forma expressa e ao diferenciar os dados pessoais dos dados
pessoais sensíveis, que são os de maior potencial discriminatório.
A Lei Geral de Proteção de Dados traz as hipóteses
de tratamento dos dados pessoais no artigo 7º. O consentimento é sempre a
primeira hipótese ensejadora de tratamento. O consentimento, nos termos do
artigo 5º, inciso XII, da Lei Geral de Proteção de Dados, consiste na
manifestação livre, informada e inequívoca pela qual o titular concorda com o
tratamento de seus dados pessoais para uma finalidade determinada. O Grupo de
Trabalho do Artigo 29.º traz orientações relativas ao consentimento no
regulamento da União Europeia 2016/679 e tem este nome porque este grupo foi
criado pela revogada Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de
24 de outubro de 1995, tendo em conta os artigos 29.º e 30.º dessa diretiva.
Este grupo de trabalho foi instituído ao abrigo do artigo 29º. da Diretiva
95/46/CE. Trata-se de um órgão consultivo europeu, independente, em matéria de
proteção de dados e privacidade.
O Grupo de trabalho do Artigo 29º orienta que a
manifestação inequívoca exige, por parte do titular de dados, uma declaração ou
um ato positivo inequívoco, o que significa que o titular deve agir de forma
deliberada e possibilita que o consentimento seja obtido de forma escrita ou
oral (gravada) ou mesmo no formato eletrônico.
Uma sugestão do grupo de estudos seria uma carta ou
uma mensagem redigida pelo titular dos dados, de correio eletrônico, por
e-mail, ao responsável pelo tratamento, explicando exatamente com o que
concorda, mas estas podem ter vários formatos e dimensões, como a declaração
oral gravada, mesmo por whatsapp, ou qualquer outra forma criativa. O silêncio
ou a inatividade da parte do titular dos dados, bem como a mera utilização de
um serviço, não podem ser encarados como manifestação ativa de escolha.
O artigo 4.º, número 11, do Regulamento Geral de
Proteção de Dados da União Europeia estabelece que o consentimento do titular
dos dados se traduz em uma manifestação de vontade livre, específica, informada
e explícita, por meio da qual o titular dos dados aceita, por declaração, ou
ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam
objeto de tratamento. O capítulo 3.1.1 da orientação do grupo de trabalho,
criado pelo artigo 29º. da Diretiva 95/46/CE, trata do desiquilíbrio de poder,
incluindo as relações de trabalho. O GT29 indica que também há desequilíbrio de
poder quando falamos de autoridades públicas.
O consentimento deve sempre ser solicitado sem
vícios, de forma inequívoca, clara, livre e específica, para fins determinados
e de forma “granularizada”, colhido de grão em grão. A obtenção do
consentimento deve ser feita de forma explícita, numa linguagem clara e
simples, inclusive na forma eletrônica e por check mark. O Brasil, seguindo o modelo
europeu, quanto à necessidade de autorização para a coleta de dados e à
política de consentimento, se utiliza, em regra, do sistema opt-in.
Ainda, dentro das hipóteses ensejadoras de
tratamento e como exceção à regra do consentimento, temos o legítimo interesse,
o qual carece de uma definição clara e precisa. Esta hipótese vem acompanhada
de limites relativos aos interesses ou direitos e liberdades fundamentais e não
pode ser uma “porta aberta” para qualquer tipo de tratamento de dados, devendo
ser analisada de forma cautelosa.
A Grupo de Estudos do Artigo 29 entende ainda que
deverá ser feita uma análise pelo responsável pelo tratamento dos dados entre
os direitos fundamentais e o legítimo interesse, para determinar quais dados
que podem ou não ser utilizados licitamente e sem um consentimento para o fim
ao qual se destina.
O artigo 7º da Lei 13.709 de 2018, traz as
hipóteses de tratamento de dados pessoais e o artigo 11, da presente lei, traz
as hipóteses de tratamento de dados pessoais sensíveis, sendo também exceção ao
consentimento, entre outras, o cumprimento de obrigação legal. O Regulamento
europeu trouxe o conceito do privacy by design e privacy by default,
que foi abraçado por nossa legislação. O primeiro tem destaque na proteção do
titular dos dados em toda arquitetura do negócio, em todos projetos
desenvolvidos e o segundo traz a ideia que o direito e a tecnologia devem andar
juntos, que um produto ou serviço seja lançado ao público com as mais seguras
configurações de privacidade.
O descumprimento e falta de adequação às normas,
principalmente no desrespeito aos direitos humanos e fundamentais no tratamento
de dados pessoais, traz elevadas sanções administrativas e que podem alcançar o
valor de 50 milhões de reais por infração, nos termos do artigo 52 da
legislação brasileira de proteção de dados. A autoridade nacional analisará o
caso concreto e tomará as medidas de acordo com o tipo e gravidade da lesão aos
dados pessoais e levará em conta sempre as medidas que foram adotadas na
tentativa de mitigar os efeitos dos incidentes ocorridos, sendo importante a
elaboração de um relatório de impacto à proteção de dados pessoais. As boas
práticas e governança também integram os critérios para dosimetria das sanções.
A Lei Geral de Proteção de dados entra em vigor em
agosto de 2020, em princípio, já que existe projeto de lei para prorrogar a
data para entrar em vigor, e se as empresas não estiverem adequadas, com um
efetivo compliance, poderão, ainda, com a recente derrubada dos
vetos à Lei 13.853/2019, artigo 52, incisos X, XI e XII, sofrer as
penalidades restabelecidas nestes incisos de suspensão parcial do funcionamento
de banco de dados por até seis meses e prorrogável por igual período até a
regularização da atividade pelo controlador, suspensão do exercício da
atividade de tratamento dos dados pessoais pelo período máximo de seis meses,
prorrogável por igual período e a proibição parcial ou total do exercício de
atividades relacionadas a tratamento de dados.
A legislação prevê, ainda, a possibilidade de
reparação por danos morais ou patrimoniais individuais ou coletivos, em ação
judicial, pelo descumprimento da legislação de proteção de dados, nos termos do
artigo 42 da Lei 13709/2017 e com a possibilidade de inversão do ônus da prova.
A possibilidade da tutela coletiva, para resguardar
e tutelar os dados pessoais e os dados pessoais sensíveis, será de extrema
relevância para a legislação de proteção de dados alcançar seu objetivo
principal de respeito aos direitos humanos e fundamentais.
Os agentes de tratamento são o controlador e o
operador. O controlador é em regra a empresa, é quem toma as decisões. O
operador é aquele que realiza o tratamento de dados e que pode ser, por
exemplo, um fornecedor de serviços de nuvem, que apenas armazena dados a pedido
do controlador.
A empresa também deverá nomear um encarregado, o
qual corresponde ao DPO no regulamento europeu e que será o elo de comunicação
entre os titulares dos dados e a Autoridade Nacional de Proteção de Dados
Ainda, com base no princípio da prestação de
contas, previsto no artigo 6º. da Lei Geral de Proteção de Dados, temos o
relatório de impacto à proteção de dados pessoais, obrigação do controlador,
que contém toda a descrição dos processos de tratamento de dados pessoais, que
podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como
medidas, salvaguardas e mecanismos de mitigação de risco.
Com um bom programa de compliance,
incluindo a segurança da informação, a empresa se adequará à Lei Geral de
Proteção de Dados, evitando ser penalizada com sanções administrativas ou com
altas condenações, principalmente em ações coletivas, no Judiciário, por não
adequação à Lei Geral de Proteção de Dados e outras normas aplicáveis à
proteção de dados. Ao estabelecer regras de boas práticas, o controlador e o
operador deverão considerar, no tratamento de dados, a natureza, o escopo, a
finalidade, a probabilidade e a gravidade dos riscos e dos benefícios
decorrentes do tratamento dos dados.
Selma
Carloto -- autora do livro “Compliance Trabalhista”, da
editora LTR. Professora de pós-graduação e MBA, com doutorado em Direito do
Trabalho. Professora na área de direito de pós-graduação da Fundação
Getúlio Vargas da FGV Direito Rio e dos MBAs de Gestão de Pessoas, Gestão
Empresarial e Gestão Comercial da área de Direito. Professora de mestrado
da Universidade Alemã de Steinbeis. Professora premiada como destaque da área
de Direito pela rede FGV Management e pelo IDE, nos anos 2011, 2012, 2013 e 2014
consecutivamente, dos cursos de pós-graduação. Condecorada pela FGV Direito Rio
com o prêmio de desempenho como docente nos cursos de pós-graduação da FGV em
2011, 2013 e 2015. Palestrante e professora de Compliance Trabalhista,
legislação trabalhista, terceirização, assédio moral, representantes
comerciais, entre outros temas e autora dos livros publicados no exterior pela
Editorial Quorom Manual de Derecho Laboral e Interesses metaindividuais e ações
coletivas.
Nenhum comentário:
Postar um comentário