RESUMO
Esse artigo, teve por objetivo refletir sobre os impactos advindos da Lei Geral de Proteção de Dados Pessoais (LGPD) - Lei nº 13.709 de 14 de agosto de 2018 e da redação dada pela Lei nº 13.853, de 8 de julho de 2019, no contexto do cenário nacional, na era digital. Apresenta inicialmente os impactos advindos com a definição de dados pessoais, dados sensíveis e de pessoa jurídica de direito privado ou público e/ou de pessoa natural, sua aplicação e tratamento considerados pelas instituições e empresas como moeda de troca de significativas transações no mercado mundial. Define seu papel junto a empresas e o poder público, que se desdobram em obrigações, submetidos a sansões e fiscalização. Traz uma abordagem metodológica, a documental, ao compreender a finalidade de regulamentar a utilização, proteção, sigilo e tratamentos de dados na aplicação da LGPD.
Palavras-chave: Impactos da LGPD; Dados Pessoais e Sensíveis; Tratamento; Informações; Sanções
ABSTRACT
This article aimed to reflect on the impacts arising from the General Law on Protection of Personal Data (LGPD) - Law No. 13,709 of August 14, 2018 and the wording given by Law No. 13,853, of July 8, 2019, in the context the national scene, in the digital age. It initially presents the impacts arising from the definition of personal data, sensitive data and from legal entities under private or public law and / or natural persons, their application and treatment considered by institutions and companies as a bargaining chip for significant transactions in the world market. It defines its role with companies and public authorities, which are divided into obligations, subject to sanctions and inspection. It brings a methodological approach, the documentary one, by understanding the purpose of regulating the use, protection, confidentiality and data processing in the application of the LGPD.
Keywords: Impacts of LGPD; Personal and Sensitive Data; Treatment; Information; Sanctions
1 Introdução
Os avanços tecnológicos trazidos pela era digital, fizeram com que as informações coletadas pelas empresas e instituições (pública e privada), se tornassem valorosos ativos para o aspecto econômico. Esse movimento demandou uma nova visão, ao celebrar a informação como um bem valioso, e sua proteção, uma prioridade. Nesse espaço compreendido como era digital, diversos países se viram diante da necessidade de elaborar leis como forma de regulamentar o tratamento, disponibilidades, acessibilidade e uso desses bens, os dados pessoais e informações.
A União Europeia, mantêm em vigor desde 2018 seu regulamento, o General Data Protection Regulation (GDPR)1. Esse regulamento, impulsionou o Brasil na elaboração da Lei Geral de Proteção de Dados (LGPD), Lei nº 13.709, publicada no Diário Oficial da União (D.O.U.) em 15/8/20182, com o objetivo de aprimorar a governança de dados pessoais pelos órgãos públicos, instituições e empresas, com normas indispensáveis quando se trata da sustentabilidade em plena era digital.
Com a publicação das diretrizes postas pela LGPD, organizações e/ou instituições, se viram diante da obrigatoriedade de se adequar com lisura as normativas para a efetivação de tratamento de dados, objetivando a proteção dos direitos fundamentais de privacidade, ética e de liberdade, princípio da transparência.
Esses procedimentos possibilitarão ao gestor e mantenedor, no caso das Instituições de Ensino Superior (IES), controle e poder sobre o tratamento para o propósito legítimo de seus próprios dados, previstos pelo Art. 6º, I ao X, observados os princípios de “finalidade, adequação, necessidade, livre acesso, qualidade, transparência, segurança, prevenção e a não discriminação”, além de se tornarem responsáveis pela “prestação de contas”, e ainda pelo “cumprimento das normas de proteção de dados pessoais e pela eficácia e medidas”, de forma clara e precisa, sobre os procedimentos pelos quais os dados serão tratados.
As regulamentações dadas pela LGPD também se aplicam as universidades, Centros Universitários, Faculdades isoladas e demais instituições de ensino, com as devidas exceções à serem consideradas na hipótese dos art. 7º, IV e art. 11, II, c), define que o tratamento de dados pessoais, colocando em evidência aqui as informações sensíveis, serão realizadas se, e, tão somente, desde que mantenha o anonimato dos dados pessoais, em estudos coordenado pelo “órgão de pesquisa que será o responsável pela segurança da informação, não permitida, em circunstância alguma, a transferência dos dados a terceiro” (Lei nº 13.709, nº, Art. 13º, § 2º). Ainda sobre as Instituições de Ensino Superior (IES), é relevante mencionar que nos termos do Art. 16º, II da LGPD, a conservação dos dados ocorrerá pelos órgãos de pesquisa, se, e se somente, esteja “garantida, sempre que possível, a anonimização dos dados pessoais”.
Em decorrência das diretrizes apresentadas nas normativas da LGPD, as organizações (públicas e privadas), em tempo, carecem da implementação de um programa que esteja alinhado à legislação, incluindo a elaboração de políticas internas, treinamento de pessoal, em uma jornada para garantir seu compliance.
As reflexões aqui apresentadas, viabilizaram a escolha do caminho metodológico, nas teorias de Laurence Bardin (2011, p. 37), por compreender que o “momento da escolha dos critérios de classificação, daquilo que se procura ou que se esperar encontrar”, se faz necessário para compreender que “representar o conteúdo de um documento sob uma forma diferente do original, a fim de facilitar, num estado ulterior, a sua consulta e referenciação” (BARDIN, 2011, p. 51), consolida a proposta.
Não menos importante, na elaboração desse trabalho ao se propor refletir sobre os impactos trazidos pela Lei Geral de Proteção de Dados (LGPD), Lei nº 13.709, publicada no Diário Oficial da União (D.O.U.) alterada pela redação dada pela Lei nº 13.853 publicada em 8/7/2019, publicada no Diário Oficial da União (D.O.U.) em 9/7/2019, com a finalidade de dispor sobre a proteção de dados pessoais e criar a Autoridade Nacional de Proteção de Dados, se articularam as teorias de Laurence Bardin (2011) que trata da pesquisa documental, tendo como fonte a análise nessa proposta a LGPD, o que se fez necessário. Dentro do contexto aqui apresentado, ao iniciar a escrita desse trabalho em decorrência das diretrizes trazidas pela LGPD, houve por preocupação abordar na introdução sua a relevância, assim como apresentar laconicamente a problemática e o objetivo que nortearam a proposta, além de indicar brevemente, os caminhos metodológicos que seriam percorridos.
No sentido de provocar o tema proposto nesse trabalho, acena para a Lei Geral de Proteção de Dados, conhecida como LGPD, criada com a finalidade de fiscalizar o uso de dados, bem como assegurar a privacidade dos usuários nas organizações. Posteriormente, busca desencadeia uma reflexão sobre os impactos quando da aplicação da LGPD nas Instituições de Ensino Superior (IES). Em tempo, apresenta nas considerações finais a conformidade da LGPD, suas regras e diretrizes para que ocorra o processo de transição e sua aplicação de forma tranquila e satisfatória. Conclui com as referências, utilizadas na estrutura do trabalho.
2 O cenário nacional e os impactos da lei no. 13.709 de 14/08/2018 - LGPD
No Brasil, em 14 de agosto de 2018, entrou em vigor a Lei Geral de Proteção de Dados (LGPD), Lei nº 13.709, publicada no Diário Oficial da União (D.O.U.) em 15/8/20183. A Lei de Proteção de Dados Pessoais (LPD), buscou no então recente Regulamento Geral de Proteção de Dados (General Data Protection Regulation - GDPR), sigla em inglês da União Europeia4, orientações para a elaboração de normas para a proteção dos dados pessoais, de indivíduos, como previsto no Art. 1º, parágrafo único, onde “as normas gerais contidas nesta Lei são de interesse nacional e devem ser observadas pela União, Estados, Distrito Federal e Municípios”.
A União Europeia e o Brasil, no contexto de um cenário de permanente evolução, marcado pela era digital, com o objetivo de regulamentar a utilização e o tratamentos de dados pessoais (de pessoa jurídica de direito privado ou público e/ou de pessoa natural), considerados pelas instituições e empresas como moeda de troca de significativas transações no mercado mundial, estabeleceram parâmetros legais, dadas pelo Art. 1º da Lei Geral de Proteção de Dados (Lei nº 13.709/18 - LGPD):
Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
A Lei Geral de Proteção de Dados (Lei nº 13.709/18 - LGPD), com sanções a serem aplicadas em razão de infrações no cometimento das normas nela previstas, apresenta para a instituições (governamentais e não governamentais) e empresas brasileiras, severas consequências operacionais quando do estabelecimento de obrigações que visam o tratamento de dados pessoais (aqueles que possibilitam a identificação de uma pessoa natural), visando assegurar os direitos fundamentais de privacidade e de liberdade conforme prevê o Art. 2º:
Art. 2º A disciplina da proteção de dados pessoais tem como fundamentos:
I - O respeito à privacidade;
II - A autodeterminação informativa;
III - A liberdade de expressão, de informação, de comunicação e de opinião;
IV - A inviolabilidade da intimidade, da honra e da imagem;
O desenvolvimento econômico e tecnológico e a inovação;
V - A livre iniciativa, a livre concorrência e a defesa do consumidor; e
VI - Os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.
A Lei Geral de Proteção de Dados (Lei nº 13.709/18 - LGPD), é prudente ao tratar em sua íntegra da preservação de dados pessoais, com procedimentos necessários em plena era digital, onde dados pessoais são tratados como valorosas mercadorias. Segundo essa Lei, versa o capítulo II, do tratamento de dados pessoais, seção I, dos requisitos para o tratamento de dados pessoais, no Art. 7º, que:
Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
I - Mediante o fornecimento de consentimento pelo titular;
II - Para o cumprimento de obrigação legal ou regulatória pelo controlador;
III - Pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres;
IV - Para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
V - Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
VI - Exercício regular de direitos em processo judicial, administrativo ou arbitral5,
VII - Para a proteção da vida ou da incolumidade física do titular ou de terceiros;
VIII - Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
IX - Quando necessário para atender aos interesses legítimos do controlador ou de terceiros, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
X - Proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
A Lei nº 13.709/18 - LGPD, se vale da boa-fé e do interesse público, quando se trata da disponibilidade e do acesso aos dados pessoais, resguardados e previsto na referida Lei, os princípios e os direitos do titular, que obteve o consentimento do referido dado, “mediante o fornecimento de consentimento pelo titular” (inciso I do Art. 7º, Lei nº 13.709/18), que, caso venha ocorrer o compartilhamento de dados pessoais com outros controladores, nesse caso, os dados pessoais somente poderão ser compartilhados mediante consentimento do titular para esse fim, outrossim, se previsto nessa Lei, mediante a dispensa de consentimento, dos princípios gerais e da garantia dos direitos do titular.
Quanto ao tratamento dos dados que ocorrerão posteriormente, conforme consta do inciso III do Art. 7º, esses terão outras finalidades dadas pela “administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres”.
No que se refere a aplicação e a definição da Lei nº 13.709/18 - LGPD, como forma de prever a discriminação, alguns registros carecem de um nível mais elevado de proteção, no caso dos dados sensíveis. Esses dados são definidos como aqueles com informações e/ou categorias que viabilizam a identificação do indivíduo, previsto no Art. 5º, inciso I, como sua “origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”.
A lei ainda, desde que resguardado seu teor e integridade, pode ser aplicada na coleta de dados sensíveis em outros países, desde que os dados coletados sejam utilizados para a aquisição de bens ou na oferta de trabalho a brasileiros.
O tratamento de dados pessoais sensíveis, previstos na Lei nº 13.709/18 - LGPD, seção II, Art.11º, orienta que os dados pessoais sensíveis somente poderão ser utilizados nas seguintes hipóteses:
Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:
I - Quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;
II - Sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:
a) Cumprimento de obrigação legal ou regulatória pelo controlador;
b) Tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
c) Realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral6;
e) Proteção da vida ou da incolumidade física do titular ou de terceiros;
f) Tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária.
O Art.11º se aplica ao tratamento de dados pessoais sensíveis, resguardado na referida Lei, a revelação de dados que possam causar prejuízos ao titular, caso venha a ser compartilhado entre os controladores, visando vantagem econômica compartilhamento, sofrendo esses controladores sansões, por parte do Poder Público, no âmbito de suas competências, ouvido os seus órgãos setoriais.
O referido Art.11º, trata ainda dos dados sensíveis da área da saúde. Caso o controlador, especificado no Art. 5º, inciso IV, como uma “pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais”, venha utilizar e/ou compartilhar esses dados para obter vantagens econômicas entre os controladores, sofrerão sanções. Dadas as orientações reveladas no § 4º [...] do mesmo artigo:
§ 4º É vedada a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, exceto nas hipóteses relativas a prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde, desde que observado o § 5º deste artigo, incluídos os serviços auxiliares de diagnose e terapia, em benefício dos interesses dos titulares de dados, e para permitir:
I - A portabilidade de dados quando solicitada pelo titular; ou
II - As transações financeiras e administrativas resultantes do uso e da prestação dos serviços de que trata este parágrafo.
Não menos importante, são as informações contidas nesses dados pessoais sensíveis, se observadas as orientações do § 5º deste artigo, ao considerar “os serviços auxiliares de diagnose e terapia, em benefício dos interesses dos titulares de dados”, bem como para assegurar a “ I - portabilidade de dados quando solicitada pelo titular” e/ou as “II - transações financeiras e administrativas resultantes do uso e da prestação dos serviços de que trata este parágrafo”.
Na especificidade da Lei nº 13.709/18 - LGPD, ainda sobre os dados pessoais sensíveis, o Art.13º, informa que em atendimento aos “estudos em saúde pública, os órgãos de pesquisa poderão ter acesso a bases de dados pessoais, que serão tratados exclusivamente dentro do órgão e estritamente para a finalidade de realização de estudos e pesquisas”. E ainda, que nas práticas de segurança, desde que previstas em regulamentos próprios por autoridades da área sanitária, da área da saúde e pelas autoridades no âmbito nacional e de suas competências, devem incluir “sempre que possível, a anonimização ou pseudonimização dos dados, bem como considerem os devidos padrões éticos relacionados a estudos e pesquisas”, e que, os resultados quando da sua divulgação, não poderão ser revelados os dados pessoais, assim como a disposição dos dados à terceiros.
A Lei nº 13.709/18 - LGPD, apresenta em sua íntegra sanções para possíveis violações, em face de uma proposta rebuscada por regras estabelecidas em meio a um conjunto de aspectos disciplinares de autoridade nacional, orientados pela fixação de hipóteses para a coleta dos dados, com categorias que detalham minuciosamente as especiais condições para o tratamento, o armazenamento e os direitos dos titulares de dados sensíveis, além de circunscrever os ditames para o armazenamento dos dados de empresas (com suas obrigações), de indivíduos e de seus segmentos.
Quanto ao tratamento do tipo de dados caracterizado pela Lei nº 13.709/18 - LGPD, somente ocorrerá em detrimento de hipótese prevista no Art. 5º, X:
X - Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Essa ação, no amparo das normativas constantes na Lei nº 13.709/18 - LGPD, visa o cumprimento de obrigações legais no tratamento de dados pelas autoridades e/ou pelos profissionais da área. Nesse alinhamento, o tratamento de dados bem como sua coleta, pode ocorrer pela responsabilidade da administração pública, com o objetivo de, após seu tratamento, serem utilizados na elaboração de políticas públicas. É um processo que envolve uma série de requisitos para a obtenção do consentimento, se apresentado de forma clara a vontade do titular (Art. 5º, inciso XII), por meio da “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”. Ou seja, o consentimento não deve ser solicitado pura e simplesmente para a posse de uma informação, mas sim deve ser indicado para a sua eficaz utilização, o que assegura a possibilidade de um uso distinto daquele informado na coleta, situação denominada de “legítimo interesse”, previsto no Artigo 10º da Lei nº 13.709/18 - LGPD:
Art. 10. O legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a:
I - Apoio e promoção de atividades do controlador; e
II - Proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos desta Lei.
§ 1º Quando o tratamento for baseado no legítimo interesse do controlador, somente os dados pessoais estritamente necessários para a finalidade pretendida poderão ser tratados.
§ 2º O controlador deverá adotar medidas para garantir a transparência do tratamento de dados baseado em seu legítimo interesse.
O legítimo interesse do controlador, nesse caso identificado aqui como a empresa, deve se apresentar revestida pela adoção de medidas, cuja finalidade se resume na transparência quando da utilização de dados específicos, úteis necessários, possibilitando a “autoridade nacional solicitar ao controlador relatório de impacto à proteção de dados pessoais, quando o tratamento tiver como fundamento seu interesse legítimo, observados os segredos comercial e industrial” (Art. 5º, § 3º da Lei nº 13.709/18).
As empresas públicas e as sociedades de economia mista, devem adotar medidas que visem a segurança das informações, além de informar de forma específica e clara por meio de relatórios e sites, o tratamento e os impactos à proteção de dados pessoais de suas atividades ao seu titular ou responsável legal, seu uso e finalidade. A Lei nº 13.709/18 - LGPD em toda a sua extensão, prevê obrigações para que as empresas e as instituições possam manter o registro e tratamento dos dados visando em ações futura, sua utilização, e/ou em casos de irregularidades, estejam disponíveis a autoridades nacionais para futuras decisões.
Esses entes, empresas públicas e as sociedades de economia mista, ao adotar procedimentos com padrões de privacidade, estarão sujeitas ao mesmo tratamento, o que versa o Art. 24º, da Lei nº 13.709/18:
Art. 24. As empresas públicas e as sociedades de economia mista que atuam em regime de concorrência, sujeitas ao disposto no art. 173 da Constituição Federal7, terão o mesmo tratamento dispensado às pessoas jurídicas de direito privado particulares, nos termos desta Lei.
Parágrafo único. As empresas públicas e as sociedades de economia mista, quando estiverem operacionalizando políticas públicas e no âmbito da execução delas, terão o mesmo tratamento dispensado aos órgãos e às entidades do Poder Público, nos termos deste Capítulo.
Essa exigência se transfere a todos os agentes da cadeia de tratamento, sendo que se um controlador causar dano a alguém em razão da atividade de tratamento, acarretará responsabilidades, e por consequência, o reparo do prejuízo, memos que seja o Poder Público. Em se tratando do Poder Público, a Lei nº 13.709/18 - LGPD, no capítulo IV, seção I, das regras, informa no Art. 23º que:
Art. 23. O tratamento de dados pessoais pelas pessoas jurídicas de direito público referidas no parágrafo único do art. 1º da Lei nº 12.527, de 18 de novembro de 20118 (Lei de Acesso à Informação) , deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público, desde que:
I - Sejam informadas as hipóteses em que, no exercício de suas competências, realizam o tratamento de dados pessoais, fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos.
Nesse caso, do Poder Público, a Lei nº 13.709/18 - LGPD, em se tratando de consentimento para o tratamento de dados, objetivando posteriormente disponibilizar seu uso para as políticas públicas, não faz menção em regulamentos e contratos. Outrossim, permite o compartilhamento de dados pelos entes públicos, resguardados nesse contexto, os princípios previstos na LGPD, com procedimentos e finalidades previstos e empregados na Lei nº 13.709/18.
A Lei nº 13.709/18 - LGPD, em toda a sua extensão, estruturada pela Art. 1º ao Art. 65º, apresenta um conjunto de sanções como forma de se assegurar possíveis violações das regras previstas no capítulo VIII, seção I, Art. 52º:
Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional: (Vigência)
I - Advertência, com indicação de prazo para adoção de medidas corretivas;
II - Multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
III - Multa diária, observado o limite total a que se refere o inciso II;
IV - Publicização da infração após devidamente apurada e confirmada a sua ocorrência;
V - Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
VI - Eliminação dos dados pessoais a que se refere a infração;
VII - Suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador; (Incluído pela Lei nº 13.853, de 2019)
VIII - Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período; (Incluído pela Lei nº 13.853, de 2019)
IX - Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados. (Incluído pela Lei nº 13.853, de 2019)
X - [...]
Nos possíveis casos de violação das regras previstas no Art. 52º, merece destaque a advertência cabendo nessa medida a correção de ações, o que não deixa de ser menos importante a previsão de “bloqueio dos dados pessoais a que se refere a infração até a sua regularização”, previsto no inciso V do mesmo artigo, além da proibição total e/ou parcial de atividades voltadas ao tratamento do banco de dados, caso as ações apresente relação específica com irregularidades.
Com espaço no capítulo IX, seção I, Art. 55º, a ANPD - Autoridade Nacional de Proteção de Dados de natureza jurídica, ainda não instituída, se apresenta na Lei nº 13.709/18 - LGPD, como um “órgão da administração pública federal, integrante da Presidência da República”, responsável pela fiscalização das normas no contexto dessa Lei. Esses procedimentos ditados pela LGPD, procuram uma forma adequada para lidar com os dados submetendo-os ao seu tratamento e sigilo, em atendimento tramitações normativas previstas na legislação.
2.1 Os impactos da lei nº 13.853 publicada em 8 de julho de 2019
O avanço tecnológico digital, responsável pelos inegáveis avanços científicos, coloca não somente o Brasil, mas a esfera mundial, em conectividade de livre acesso a informações, com a promessa de compartilhamento de experiências entre a humanidade, possibilitando espaços cibernéticos, o que por sua ordem, contrapõe a solidão e visa o entretenimento, pelo armazenamento de dados pessoais e da autonomia, transformados em um dos mais valiosos ativos para as empresas.
Considerando as premissas apresentadas pela União Europeia, a publicação do General Data Protection Regulation (GDPR)9, impulsionou o excelentíssimo Presidente da República Federativa do Brasil, o então senhor Jair Messias Bolsonaro, a sancionar a Lei Geral de Proteção de Dados (LGPD), Lei nº 13.853 publicada em 8 de julho de 201910, que pela sua redação, altera a Lei nº 13.709, publicada no Diário Oficial da União (D.O.U.) em 15/8/201811, com sanções para vigorar em agosto de 2021 e em tempo, dotada de autonomia técnica, objetiva a zelar pelo cumprimento da Lei Geral de Proteção de Dados Pessoais - LGPD, editando normas e diretrizes pelas razões nela propostas, a fiscalização.
Publicado em 14 de agosto de 2018, a Lei nº 13.709 - a Lei Geral de Proteção de Dados Pessoais - LGPD, foi convertida em Lei por meio da Medida Provisória nº 869, de 27/12/de 201812, prevista para entrar em vigor 18 (dezoito) meses da sua publicação, ou seja, janeiro de 2020.
De interesse nacional e de supervisão da União, Distrito Federal, Estados e Municípios, seu prazo de vigência não vigorou, pois, a Medida Provisória nº 869, de 27/12/de 2018, foi convertida na Lei nº 13.853, de 8 de julho de 2019, e inicialmente prorrogada para 24 meses da publicação da Lei para entrar em vigor, sendo o prazo para agosto 2020. É fato que a referida Lei nº 13.853 publicada em 8 de julho de 2019 teve sua origem nas discussões em audiências públicas, permeadas pelas normativas, com a presença de entidades interessadas pela aprovação da Medida Provisória nº 869. No entanto, foi em 29 de abril de 2020, que o prazo para que a Lei vigorasse, foi novamente alterado com publicada uma nova Medida Provisória nº 95913, passando para 3/5/2021, com um prazo de 60 (sessenta) dias da sua publicação para ser transformada em Lei, podendo ser prorrogada pelo mesmo prazo.
Pela nova redação dada pela Lei nº 13.853 publicada em 8 de julho de 2019, passa a constar que se trata da Lei Geral de Proteção de Dados Pessoais (LGPD), para “dispor sobre a proteção de dados pessoais e para criar a Autoridade Nacional de Proteção de Dados - ANPD”. Foi fundamental a nova redação dada para a aplicação da LGTP/2019, visto que o veto dado originalmente pela Lei nº 13.709, impedia a criação da ANPD e colocava a possibilidade da Lei se tornar inexecutável, contrariando todo um sistema.
A Lei nº 13.853 ao trazer uma nova redação, teve por objetivo propor a criação da Autoridade Nacional de Proteção de Dados (ANPD), que originalmente foi vetada na publicação da Lei nº 13.709.
O que chama atenção nas normativas da Lei Geral de Proteção de Dados Pessoais (LGPD), é sua regulamentação híbrida, visto que a Lei urge pela multidisciplinaridade de conhecimentos que se relacionam pela governança, tratamento de dados e pela segurança nas informações, o que viabiliza a atualização documental e o assessoramento jurídico na incidência de respostas definindo com a devida relevância, as prioridades.
Mais do que normativas, diretrizes, regulamentações e princípios, a Lei Geral de Proteção de Dados Pessoais (LGPD), trouxe consigo, a mudança de cultura nas instituições e organizações (pública e privada), agregando no tratamento de dados pessoais, maior responsabilidade. Isso é fato, o que possibilitou rever a forma de processamento e tratamento dos dados, que se considerar seu uso devido ou não, poderá gerar dados há quem as informações cuja titularidade é de direito.
O cenário digital não dispõe de outro caminho a não ser estar preparado para interagir e atender as regulamentações. No entanto, é importante que as empresas, instituições e organizações, estejam alinhadas com o armazenamento e tratamento das informações de titulares, e apostos para atender às solicitações, na mesma velocidade da era digital. Além disso, a ambiente pesquisa e educacional, deve servir de exemplo ao tratar dos direitos humanos e ao estar em conformidade com as Leis. Caso contrário, arcarão com sanções, multas pesadas e advertências severas.
Procurando atender as regulamentações legais e normativas, a Lei Geral de Proteção de Dados - LGPD, Lei nº 13.853 publicada em 8 de julho de 2019, passa a dar uma nova redação para artigos e incisos, afirmando de início no Art. 1º, Parágrafo único. que “as normas gerais contidas nesta Lei são de interesse nacional e devem ser observadas pela União, Estados, Distrito Federal e Municípios (NR)14”, o que diverge do Art. 1º, da Lei nº 13.709, que propunha de início o tratamento de dados pessoais “com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural”.
A nova redação dada pela Lei nº 13.853 - LGPD, versa que os dados pessoais, posterior ao seu tratamento, de acesso público pelo titular, poderá ser disponibilizado para novas finalidades, desde que respeitadas as condições de sua disponibilização, bem como respeitado os propósitos específicos de preservação e legitimidade, alinhados aos princípios e fundamentos previsto em Lei, no caso a LGPD.
As tratativas apresentadas pela Lei nº 13.853 - LGPD, não obstante, também, dispõe sobre órgão da administração pública federal, integrante da Presidência da República Federativa do Brasil, a Autoridade Nacional de Proteção de Dados (ANPD), a quem compete, normatiza outras disposições no Art. 55-J:
“Art. 55-J. Compete à ANPD:
I - Zelar pela proteção dos dados pessoais, nos termos da legislação;
II - Zelar pela observância dos segredos comercial e industrial, observada a proteção de dados pessoais e do sigilo das informações quando protegido por lei ou quando a quebra do sigilo violar os fundamentos do art. 2º desta Lei;
III - Elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade;
IV - Fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso;
V - [...]
XIII - Editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais previstos nesta Lei; [...]
Em tempo, vale ressaltar, que foram vetados dispositivos do texto que estrutura o projeto de Lei de conversão, o que tornou relevante na elaboração desse texto, destacar as sanções administrativas de suspensão, bem como a proibição do exercício e/ou funcionamento de tratamento de dados, que dadas as tratativas dos responsáveis pelas informações, geraria certa insegurança, impossibilitando assim, utilizar o banco de dados após o tratamento, essencial a inúmeras atividades privadas.
2.2 As Instituições de Ensino Superior (IES) em face dos impactos da LGPD
As Instituições de Ensino Superior (IES), pela sua constituição, se encontram amparadas pela sua mantenedora, a empresa, identificada no Art. 10º, § 2º da Lei nº 13.709/18 como controlador, que “ deverá adotar medidas para garantir a transparência do tratamento de dados baseado em seu legítimo interesse”.
A Lei de Proteção de Dados Pessoais - LGPD, pela sua natureza, considera um direito de todo cidadão a proteção de dados pessoais, sensíveis ou não. Pela normativas dadas pela Lei, as Instituições de Ensino Superior (IES) brasileira, independente da sua área de atuação e/ou porte, deverão atender os aclames da Lei em tempo hábil, bem como seguir orientações para a coleta, tratamento, processamento e compartilhamento de dados.
Dentro de suas práticas, as Instituições de Ensino Superior (IES), ao constituir os membros responsáveis pela captação de dados gerias, dados sensíveis e/ou informações, deverão receber treinamento e atualização das normativas previstas na Lei Geral de Proteção de Dados - LGPD, bem como conhecer suas implicações.
A Lei Geral de Proteção de Dados Pessoais - LGPD, normatiza no Art.6º, inciso VI, a questão da transparência como “garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento”, de dados pelo fato de que as instituições de ensino coletam periodicamente um grande volume de dados pessoais regulares, o que faz com que a LGDB, exija que seja dada uma maior transparência no tratamento de dados pessoais, assim na escolha de fornecedor, assegurando nesse processo a “portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial” (Lei nº 13.709/18, Art. 18º, inciso V).
A Lei Geral de Proteção de Dados Pessoais - LGPD, é assertiva quando assegura que o não cumprimento de suas normativas, finalidade e a forma de tratamento das informações adquiridas, resultarão em três tipos de sanções legais previstas na Lei nº 13.709/18, Art. 52º e seus incisos de I a XII como advertência formal, multas que podem chegar a 2% do faturamento e bloqueio de dados pessoais referente a infração, caso não sejam aplicadas corretamente a coleta de dados ou que haja no decorrer do processo, deturpação da prestação de serviços educacionais, implicando no comprometimento da imagem da empresa, sua mantenedora.
Fica claro nas normativas da Lei Geral de Proteção de Dados Pessoais - LGPD (Art. 5º, inciso II), que infrações como vazamento de informações de dado pessoal sensível sobre “origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”, coloca a gestão de toda e qualquer Instituição de Ensino Superior (IES), sob o prisma da vulnerabilidade, obrigando assim a instituição a se submeter a avaliação e por consequência rever sua segurança cibernética.
Nesse cenário, e, associados a esse contexto, as instituições sob a égide da LGDB, se encontram diante de grandes desafios, ao conscientizar mantenedores a respeitar e atender as normativas previstas na Lei como: definir um grupo que seja responsável e coeso, se submeter a identificar periodicamente as bases de dados e a realizar orçamentos com intuito de instituir mecanismos e tecnologia (meios digitais) a serem contratados, além da obrigatoriedade de estabelecer um programa de boas práticas de governança, que “demonstre o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais”15, com comprovação do seu uso ético e seguro (Lei nº 13.709/18, Art. 50º, inciso I).
A Lei Geral de Proteção de Dados Pessoais - LGPD, ao normatizar regras de boas práticas para o tratamento e aos dados considerando a sua finalidade, sua natureza, riscos, escopo e benefícios decorrentes de tratamento de dados do titular, colocou as Instituições de Ensino Superior (IES) na era da proteção de dados pessoais e do compliance16. Se antes, a preocupação das instituições, estavam voltadas ao atendimento de requisitos legais, regulatórios e normativos (o que não os invalidam), agora se voltam para o uso ético e seguro dos dados pessoais. Mais que um processo polêmico e burocrático, a LGPD, visa o direito de proteção da personalidade e da privacidade. As Instituições de Ensino Superior (IES), deverão se adequar buscando ferramentas tecnológicas disponíveis, metodologia própria e apoio jurídico, como forma de assegurar os direitos dos dados e, por necessidade, seus titulares, conforme as novas diretrizes dadas pela Lei Geral de Proteção de Dados Pessoais - LGPD.
3 Considerações finais
Ao refletir sobre os impactos da Lei de Proteção de Dados Pessoais - LGPD, foi possível identificar que empresas e instituições, realizam anualmente a captação de dados pessoais, dados sensíveis e informações, que por sua natureza, necessitam de tratamento e exigem certa transparência na sua aplicação e/ou utilização.
Visando assegurar a lisura desses dados, a LGPD normatizou sanções legais e punições que deverão ser aplicadas pela deturpação de sua finalidade ou pelo seu mau uso na prestação de serviços, sejam educacionais ou empresariais. Aí a necessidade de ser assertivo quando se trata da segurança e manipulação de informações dadas pelas diretrizes da Lei.
O meio digital disponibiliza uma série de ferramentas que visam assegurar esse processo de coleta de dados em face das normativas ensejadas pela LGDB, assegurando por meio de procedimentos internos e políticas de privacidade, toda e qualquer atividade que demandem o uso de dados. Esse é o momento em que as empresas e instituições devem estar em conformidade com as normas da LGPD, sendo esse procedimento muito em breve, uma obrigatoriedade.
Essa regulamentação, apresenta benefícios para as empresas e instituições, quando se prevê a antecipação, atualização e possivelmente a revisão dos seus procedimentos no vigor da Lei de Proteção de Dados Pessoais - LGPD, para assim, propor mudanças visando a credibilidades e o fortalecimento de suas ações.
É um cenário desafiador se tratando de dispositivos polêmicos trazidos pela Lei Geral de Proteção de Dados Pessoais (LGPD), como as decisões previstas no Art. 20º17, onde o “titular dos dados tem direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, [...]”. São decisões fundamentadas que possibilitam parametrização, quando questionadas.
Esse espaço não foi suficiente para refletir sobre os artigos, parágrafos e incisos trazidos pela LGPD. São temas polêmicos, o que exigiria a elaboração mais do que um artigo. Nesse espaço, foi sim possível provocar laconicamente alguma reflexão sobre o que entendemos ser relevante na Lei, que ao ver, não menos importante que o Código de Defesa do Consumidor18, lei nº 8.078, de 11/9/1990.
Referências
- BARDIN, Laurence. Análise de conteúdo. (Trad.) RETO, Luís Antero
- PINHEIRO, Augusto. São Paulo: Edições 70, 2011.
-
BRASIL. Lei nº 13.853 de 8/7/2019, publicada no Diário Oficial da União (D.O.U.) em 9/7/2019. Disponível em: https://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2019/Lei/L13853.htm#art1 Acesso: 15 out. 2020.
» https://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2019/Lei/L13853.htm#art1 -
BRASIL. Lei nº 13.709 de 14/08/2018, publicada no Diário Oficial da União (D.O.U.). Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/Lei/L13709.htm Acesso em: 15 out. 2020.
» http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/Lei/L13709.htm -
BRASIL. Lei nº 12.527, de 18 de novembro de 2011. Disponível em: http://www.planalto.gov.br/ccivil_03/_Ato2011-2014/2011/Lei/L12527.htm#art1 Acesso em: 15 out. 2020.
» http://www.planalto.gov.br/ccivil_03/_Ato2011-2014/2011/Lei/L12527.htm#art1 -
BRASIL. Lei nº 9.307, de 23/9/1996 (Lei de Arbitragem). Disponível em http://www.planalto.gov.br/ccivil_03/LEIS/L9307.htm Acesso em: 15 out. 2020.
» http://www.planalto.gov.br/ccivil_03/LEIS/L9307.htm -
BRASIL. Lei nº 8.078, de 11/9/1990. Disponível em: http://www.planalto.gov.br/ccivil_03/leis/l8078compilado.htm Acesso: 15 out. 2020.
» http://www.planalto.gov.br/ccivil_03/leis/l8078compilado.htm -
BRASIL. MEDIDA PROVISÓRIA Nº 959, DE 29 DE ABRIL DE 2020. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2019-2022/2020/mpv/mpv959.htm Acesso em: 15 out. 2020.
» http://www.planalto.gov.br/ccivil_03/_ato2019-2022/2020/mpv/mpv959.htm -
BRASIL. Medida Provisória nº 869, de 27 de dezembro de 2018. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/Mpv/mpv869.htm Acesso em: 15 out. 2020.
» http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/Mpv/mpv869.htm -
CONSTITUIÇÃO DA REPÚBLICA FEDERATIVA DO BRASIL DE 1988. Disponível em: http://www.planalto.gov.br/ccivil_03/Constituicao/Constituicao.htm#art173 Acesso em: 15 out. 2020.
» http://www.planalto.gov.br/ccivil_03/Constituicao/Constituicao.htm#art173 -
UNIÃO EUROPÉIA. GDPR - General Data Protection Regulation. Of the Regulation (EU) 2016 of the, 04.05.2016. Disponível em: https://www.legislation.gov.uk/eur/2016/679/contents Acesso em: 15 out. 2020.
» https://www.legislation.gov.uk/eur/2016/679/contents
-
1
Of the Regulation (EU) 2016 of the, 04.05.2016 GDPR (General Data Protection Regulation). Disponível em: https://www.legislation.gov.uk/eur/2016/679/contents Acesso em: 15 de out. 2020.
-
2
Informações sobre a Lei nº 13.709 disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/Lei/L13709.htm Acesso em: 15 de out. 2020.
-
3
Informações sobre a Lei nº 13.709 disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/Lei/L13709.htm Acesso em: 15 de out. 2020.
-
4
Of the Regulation (EU) 2016 of the, 04.05.2016 GDPR (General Data Protection Regulation). Disponível em: https://www.legislation.gov.uk/eur/2016/679/contents Acesso em: 15 de out. 2020.
-
5
Disponível em http://www.planalto.gov.br/ccivil_03/LEIS/L9307.htm Termos da Lei nº 9.307, de 23/9/1996 (Lei de Arbitragem). Acesso em: 15 de out. 2020.
-
6
Disponível em http://www.planalto.gov.br/ccivil_03/LEIS/L9307.htm Termos da Lei nº 9.307, de 23/9/1996 (Lei de Arbitragem). Acesso em: 15 de out. 2020.
-
7
Disponível em: http://www.planalto.gov.br/ccivil_03/Constituicao/Constituicao.htm#art173, Constituição da República Federativa do Brasil de 1988. Acesso em: 15 de out. 2020.
-
8
Disponível em: http://www.planalto.gov.br/ccivil_03/_Ato2011-2014/2011/Lei/L12527.htm#art1 A Lei nº 12.527, de 18/11/2011 (Lei de Acesso à Informação). Acesso em: 15 de out. 2020.
-
9
Of the Regulation (EU) 2016 of the, 04.05.2016 GDPR (General Data Protection Regulation). Disponível em: https://www.legislation.gov.uk/eur/2016/679/contents Acesso em: 15 de out. 2020.
-
10
Mais informações sobre a Lei nº 13.853 se encontra disponível em: https://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2019/Lei/L13853.htm#art1 Acesso: 15 de out. 2020.
-
11
Informações sobre a Lei nº 13.709 disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/Lei/L13709.htm Acesso em: 15 de out. 2020.
-
12
Altera a Lei nº 13.709, Disponível: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/Mpv/mpv869.htm Acesso em: 15 out. 2020.
-
13
Mais informações estão disponíveis em: http://www.planalto.gov.br/ccivil_03/_ato2019-2022/2020/mpv/mpv959.htm Acesso em: 15 out. 2020.
-
14
A íntegra do Art. 1º está disponível em: http://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2019/Lei/L13853.htm#art1 Acesso em: 15 out. 2020.
-
15
Práticas de governança se encontra prevista na Lei nº 13.709/18, Art. 50º, inciso I, disponível em: http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709.htm#art20.0 Acesso: 15 de out. 2020.
-
16
Disponíveis em: https://pt.wikipedia.org/wiki/Compliance Informações explicativas sobre o compliance. Acesso em: 15 de out. 2020.
-
17
O Art. 20. está disponível para ser consultado em: http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709.htm#art20.0 Acesso em: 15 de out. 2020.
-
18
Disponível http://www.planalto.gov.br/ccivil_03/leis/l8078compilado.htm Acesso: 15 de out. 2020.
Datas de Publicação
-
Publicação nesta coleção
02 Dez 2022 -
Data do Fascículo
Jul-Sep 2022
Histórico
-
Recebido
07 Set 2018 -
Aceito
08 Fev 2022