É comum afirmar que as informações constantes de bancos de dados são os ativos mais importante de uma empresa, pois carregam em si alto valor econômico, organizacional e operacional. Acontece que tais informações, uma vez agrupadas ou somadas a outras, são capazes de identificar uma determinada pessoa ou, menos, tornar uma pessoa identificável.
Assim, diante da dicotomia privacidade e utilização econômica de dados pessoais, foi publicada em 14 de agosto de 2018 a Lei Geral de Proteção de Dados – LGPD – justamente com a finalidade de regular a utilização no Brasil dos dados de uma pessoa natural desde que sejam observados os princípios e as regras previstas na mencionada Lei.
Na aludida Lei, os dados de pessoa natural receberam proteção especial justamente porque foram considerados pelo Legislador como direitos da personalidade, ou seja, como um daqueles direitos essenciais que todo ser humano titulariza pelo simples fato ser pessoa.
Portanto, a partir do mês de agosto de 2020, o tratamento de dados pessoais de pessoa natural identificada ou identificável deverá necessariamente cumprir uma série de exigências legais e respeitar a burocracia prevista na LGPD, o que demandará das empresas e entidades que realizam tratamento de dados adequação substancial de seus processos internos.
Neste ponto, frisa-se: qualquer um que colete dados capazes de identificar uma pessoa já está, literalmente, tratando dados pessoais, conforme disposto na LGPD, independentemente de o “coletor” ser pessoa natural ou pessoa jurídica.
Observa-se, contudo, que apenas os dados de pessoas naturais serão objeto desta proteção, já que a LGPD não estendeu às pessoas jurídicas esse aspecto do direito da personalidade.
Logo, a partir da vigência da mencionada lei, a simples coleta, recepção, organização e armazenagem de informações de um cliente, por exemplo, gerará ao receptor das informações uma série de providências administrativas e jurídicas que, caso descumpridas, podem acarretar desde penalidades simples de advertência até multas de 2% do faturamento da empresa, limitada a R$ 50.000.0000,00 (cinquenta milhões de reais), bem como eliminação do banco de dados.
Dentre as principais exigências da LGPD estão o registro das operações de tratamento e a nomeação de um Encarregado que, além de implementar as novas práticas exigidas pela LGPD, irá gerir o compliance dos dados e emitir relatório periódico de impacto do tratamento de dados, enviando mencionado documento à Autoridade Nacional de Proteção de Dados (ANPD).
O Encarregado é figura presente em quase todas as legislações de países que instituíram a proteção geral de dados pessoais, denominado no Regulamento Geral de Proteção de Dados da União Europeia de “Data Protection Officer”. No Brasil, o Encarregado poderá ser tanto um funcionário da empresa Controladora dos dados ou um terceiro prestador de serviços.
Além disso, a LGPD instituiu uma gama de novos direitos oponíveis ao Controlador, tais como o direito à explicação de como está sendo utilizado os dados, o direito à exclusão ou retificação de dados, direito à portabilidade dos dados e o direito ao consentimento prévio para tratamento dos dados nas hipóteses em que não existe na LGPD base legal que a dispense.
Portanto, a adequação dos contratos que vinculam o Controlador dos dados (pessoa ou empresa que necessita do tratamento dos dados) ao titular dos dados informados (clientes) é medida que se impõe, paralelamente à implementação de boas práticas em ambiente corporativo destinadas ao tratamento de dados conforme a LGPD, a fim de evitar as penalidades administrativas da Lei 13.709 e a responsabilidade civil e ressarcimento de danos aos titulares dos dados pessoais.
Neste sentido, a LGPD expressamente previu em seu artigo 42 que “o controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo”, bem como limitou os casos de isenção de responsabilidade para quando o agente de tratamento provar: (i) que não realizou o tratamento de dados pessoais que lhes é atribuído; (ii) que, embora tenha realizado o tratamento de dados pessoais que lhe é atribuído, não houve violação à legislação de proteção de dados; ou (iii) que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiros.
Pode ser que, em uma interpretação apressada, entendamos que a LGPD tenha conjecturado óbices aos novos negócios e ao próprio funcionamento econômico do banco de dados. Contudo, após análise detida da Lei e dos aspectos socioculturais que motivaram sua publicação, conclui-se que, na verdade, as novas regras e princípios darão segurança ao empresário quanto à utilização de tais dados, já que, agora, tem ciência prévia do modo correto de se utilizar tais dados.
Portanto, para que o empresário não sofra penalidade de exclusão de seu banco de dados quando do início da vigência da LGPD, eleva-se a necessidade de adequação tanto dos processos internos de tratamento de dados às normas da LGPD quanto da formalização de colheita de consentimento livre, informado e inequívoco pelo titular dos dados pessoais quanto à sua utilização em contratos e outros instrumentos empresariais, sempre que não exista outra base legal autorizando a utilização dos dados.
Por Danillo Valdisser Jaculi Teixeira Bento
