A Aplicação do Marco Legal de Proteção de Dados Nacional e Possíveis Reflexos nos Contratos
Amanhã, dia 14 deste mês, encerra o prazo do Presidente Michel Temer para sancionar ou vetar o PLC 53/2018, também conhecido como a Lei Geral de Proteção de Dados do Brasil (“LGPD”), que tem por objetivo regular as atividades de coleta, tratamento e armazenamento de dados pessoais no território nacional.
Considerando-se que a legislação nacional dispõe, direta ou indiretamente, sobre o assunto de forma esparsa (a saber, a Constituição Federal, o Código de Defesa do Consumidor, o Marco Civil da Internet e o Decreto 8.771/2016), a nova regra – LGPD – almeja garantir aos titulares de dados maior controle sobre toda operação realizada a partir de tais atividades.
Se o Presidente sancionar a LGPD, haverá uma enorme contribuição para o cenário socioeconômico do Brasil, por estar cada vez mais pautado na utilização de dados, inclusive por conta da vigência da regulamentação Europeia de dados pessoais – o General Data Protection Regulation (“GDPR”) – em vigor desde 25 de maio deste ano.
A redação da LGPD foi inspirada em diretrizes específicas advindas do GDPR, trazendo à tona a definição de conceitos importantes não abordados pela legislação vigente, tais como: “dado pessoal”, “dado pessoal sensível”, “dado anonimizado”, “titular”, “consentimento”, “uso compartilhado de dados”, entre outros, no seu artigo 5º.
É importante destacar que a nova regulamentação brasileira dispõe, ainda, sobre os fundamentos e princípios que justificam a necessidade de uma efetiva proteção de dados pessoais, demonstrando que tem por objetivo “proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural”, conforme dispõe o Artigo 1º da LGPD.
Com o advento da nova regra, aplicável tanto para pessoas naturais como para pessoas jurídicas responsáveis pelo tratamento de dados, empresas de todos os setores, incluindo o poder público, serão impactadas; ademais, os efeitos da LGPD independem do meio utilizado (ou seja, não distinguem a operação realizada online ou off-line), do país sede da operação de tratamento, e do país onde tais dados estejam localizados. O fato é que o prazo de adaptação para todos será de 18 (dezoito) meses contados a partir da data da publicação oficial da norma.
Como principal inovação temos o fato de que apenas poderão ser objeto de tratamento as informações livremente informadas pelo titular para os propósitos legítimos, específicos, explícitos e comunicados ao mesmo pelo responsável pela operação de tratamento. Assim, após o conhecimento das finalidades particulares para a utilização das informações do titular, exige-se do mesmo o seu consentimento.
Acerca do consentimento do titular, a nova lei estabelece que este deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular, excluindo-se, portanto, qualquer hipótese de aceitação tácita; no primeiro caso, isto é, quando o consentimento se der por escrito, na seara do direito contratual, a cláusula que versar sobre esta garantia deverá destacar-se das demais cláusulas contratuais.
Esta particularidade será refletida no aspecto contratual, por exemplo, caso em que o titular também deverá ser claramente informado quando o tratamento de dados pessoais for condição para o fornecimento de produto ou serviço. O consentimento, por sua vez, poderá ser igualmente revogado mediante requerimento do titular.
Assim, denota-se, especialmente, a obrigação de transparência das empresas quanto a: quais dados pessoais são armazenados (dados pessoais ou dados anonimizados), qual a finalidade de seu tratamento, qual o seu ciclo de vida, quem é o responsável pelo banco de dados, onde e de que forma os dados são armazenados, e como são eliminados. Recomendável, portanto, que tais disposições sejam expressamente mencionadas em instrumentos particulares a serem celebrados entre o titular e o responsável pelo tratamento.
Outros conceitos importantes provenientes da LGPD trazidos do GDPR são o de “controlador” e “operador”. O controlador é quem toma as decisões referentes ao tratamento de dados, ainda que não realize diretamente o tratamento em questão. O operador é quem efetivamente trata os dados, ainda que não tenha ingerência sobre seu tratamento. Portanto, o responsável pelas decisões referentes ao tratamento de dados nem sempre é a mesma pessoa física ou jurídica que efetivamente realiza o tratamento.
Por conta disso, imprescindível que as obrigações e responsabilidades do controlador e do operador sejam delimitadas por meio de instrumento contratual pertinente, considerando-se, entre outros, a segurança e a violação de dados, bem como sua correspondente investigação e remediação, o uso de técnicas específicas, como a criptografia, processamento e manutenção dos dados, auxílio mútuo em procedimentos de investigação, inspeção ou auditoria. Em especial, deve-se considerar as hipóteses de indenização e a limitação de responsabilidade de cada parte, atentando-se ao risco envolvido no caso concreto.
Ainda, a LGPD prevê a aplicação de penalidades em caso de descumprimento das regras, tanto de caráter oneroso como de caráter administrativo. Assim, são previstas desde a aplicação de advertência, proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados, até multa de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, limitada a R$ 50.000.000,00 (cinquenta milhões de reais) por infração. As empresas, portanto, devem atentar-se à adoção de políticas internas de boas práticas para proteção de dados pessoais, reforçando o que está sob proteção.
Enfim, a sanção ou o veto presidencial está próximo, de modo que aprovação da LGPD impactará diretamente no uso compartilhado de dados, tratamento desses dados e, consequentemente, nas obrigações contratuais.