A LGPD já está valendo?
O que é a LGPD?
LGPD é a sigla para a “Lei Geral de Proteção de Dados”, a Lei nº 13.709 de 14/08/2018. Trata-se de uma lei que busca centralizar as regras relacionadas à segurança e proteção de dados pessoais no Brasil, padronizando regulamentos e práticas de acordo com os parâmetros internacionais existentes.
Nesse sentido, a lei estabelece diretrizes para a forma de condução de atividades que envolvam dados pessoais, estipula medidas de segurança a serem observadas para garantir a privacidade e proteção dos direitos dos titulares de dados pessoais, regulamenta as responsabilidades e impõe penalidades para os casos de constatação de irregularidades ou incidentes de segurança, além de instituir um órgão responsável por garantir a aplicação e fiscalização do cumprimento da LGPD.
Dessa forma, a LGPD proporciona aos titulares uma maior conscientização e acessibilidade aos seus direitos, fornecendo-lhes um maior nível de controle sobre seus próprios dados, enquanto norteia a atuação dos agentes de tratamento de dados, auxiliando-os a realizar suas operações de forma mais segura.
A LGPD já está valendo?
Sim, a LGPD já está valendo em sua integralidade!
A LGPD foi sancionada em 14 de agosto de 2018 e inicialmente previa um período de vacância (isto é, o prazo determinado para que a sociedade se adapte à lei antes que passe a efetivamente vigorar) de 24 meses, de modo que entraria em vigência em agosto de 2020.
Em abril de 2020, foi editada uma Medida Provisória (nº 959 de 2020) que pretendia adiar a vigência da lei para maio de 2021, supostamente com o fim de dar mais tempo às empresas para que se adequassem às regras da legislação, em meio às dificuldades geradas pela pandemia do coronavírus.
Contudo, essa previsão foi retirada do texto pelo Senado Federal e a MP nº 959 acabou sendo sancionada sem o adiamento pretendido, com exceção das sanções e penalidades, que passariam a valer apenas em agosto de 2021.
Assim, em síntese, a maior parte das disposições da LGPD passou a valer em agosto de 2020, enquanto os artigos que preveem as sanções administrativas por violação aos dispositivos da LGPD começaram a valer no dia 1º de agosto de 2021.
O texto da LGPD, atualmente, está completamente vigente.
O que são dados?
O que são Dados pessoais
“Dados pessoais” é um termo que se refere a todo tipo de informações – identificada ou identificável – relacionadas a pessoas naturais. Todas as informações relacionadas aos clientes, parceiros ou fornecedores que atuem como pessoas físicas, funcionários e até de clientes dos clientes se caracterizam como “dados pessoais”.
Em termos práticos, os dados pessoais podem consistir em: (i) informações que identificam, por si só, o seu Titular, como o nome completo, endereço eletrônico, endereço físico e/ou o número de documentos pessoais (RG, CPF, CNH, etc.) ou; (ii) informações que, embora não possam identificar o Titular isoladamente, possam ser suplementadas ou cruzadas entre si a fim de possibilitar essa identificação, como endereço de IP, bairro, profissão, ocupação de um determinado cargo em uma determinada empresa, etc.
Os dados e informações exclusivamente referente a pessoas jurídicas (como CNPJ, endereço comercial, razão social e etc.) não são considerados dados pessoais para os fins da LGPD – ressalvando-se, por óbvio, os dados relacionados também aos sócios, diretores, administradores ou demais pessoas físicas que integrem a estrutura empresarial.
O que são Dados pessoais sensíveis
“Dados pessoais sensíveis”, segundo a definição da própria LGPD, são os dados pessoais que se relacionam especificamente com a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, saúde ou vida sexual do titular, dado genético ou biométrico.
Percebe-se que o rol de dados sensíveis é composto por informações especialmente delicadas e significativas aos Titulares, razão pela qual recebem previsão diferenciada na LGPD (como um rol reduzido de hipóteses autorizadoras de tratamento e a possibilidade de exigência de apresentação de relatório de impactos relacionado à atividades que envolvam esses dados pessoais sensíveis), a fim de garantir uma maior segurança em atividades de tratamento que os envolvam.
No que consiste o Tratamento de Dados
O “tratamento” desses dados, por sua vez, implica em todo e qualquer tipo de operação que envolva dados pessoais, tais como: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Exemplificativamente, caracterizam operações de tratamento a coleta de informações de clientes, funcionários ou terceiros para fins de cadastro ou registro, armazenamento dessas informações em bancos de dados (físicos ou digitais) e acesso a esses dados para fins de elaboração de documentos, contatos com os titulares, envio de newsletters e demais operações semelhantes.
O “ciclo de vida” de um dado pessoal dentro de uma empresa, então, abrange desde a sua coleta, com a entrada do dado nos servidores e armazenamento nos bancos de dados da empresa, passando por todos os usos e atividades nos quais está envolvido, até o eventual arquivamento ou eliminação.
Qual a diferença entre Controlador e Operador na LGPD?
A definição do papel de Controlador de Dados Pessoais
Segundo o art. 5º, inciso VI, da LGPD, Controlador é a “pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais”.
Esta figura, portanto, se diferencia do papel do Operador em razão do poder decisório que detém quanto ao tratamento de dados pessoais. Ao Controlador, competem as decisões essenciais a respeito dos procedimentos de tratamento de dados.
Em outras palavras, o Controlador é o agente responsável por determinar o propósito (finalidade) e o meio pelo qual se realizará o tratamento dos dados.
Assim, o Controlador é o responsável por definir que uma determinada atividade de tratamento de dados será realizada, bem como tomar as decisões sobre seus aspectos essenciais, como: quais dados serão coletados, qual a finalidade da atividade, qual será o tempo de armazenamento dos dados, quem terá acesso aos dados e qual será o público ou quem serão os indivíduos impactados pela atividade.
Embora o Controlador seja o responsável pela definição do propósito e do meio de realização do tratamento de dados, ele não necessariamente precisa executar o meio de tratamento, podendo delegar esta tarefa – hipótese da qual desponta a figura do Operador.
A definição do papel de Operador de Dados Pessoais
Nos termos do art. 5º, inciso VII, Operador é a “pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador”.
O Operador é, então, o agente que recebe as delegações do Controlador acerca do meio de tratamento dos dados. Assim, é um agente que pode executar o tratamento de dados em nome do Controlador, seguindo instruções emanadas por ele e vinculando-se a estas instruções, não possuindo autonomia ou ingerência sobre decisões essenciais relacionadas ao propósito da atividade de tratamento.
Faz-se a ressalva de que isso não significa que o Operador não possui qualquer autonomia na realização de suas funções. Pelo contrário, o Operador pode possuir certa discricionariedade para a tomada de decisões, desde que essas decisões se restrinjam ao aspecto operacional da atividade, jamais podendo tomar decisões de caráter essencial ou que impactem no propósito da atividade de tratamento de dados.
Destaque-se que o Operador é um agente separado do Controlador. É dizer que o fato de uma empresa estar segmentada em setores ou contar com funcionários autônomos/terceirizados não os torna automaticamente “operadores” dos sócios ou gerentes da própria empresa.
Os diversos setores e colaboradores de uma mesma empresa exercem o mesmo papel, atuando como um todo no papel de Controlador ou Operador, jamais segmentando-se o papel entre os setores/colaboradores, mas sim entre atividades.
Controlador x Operador – síntese das semelhanças e diferenças
Depreende-se de ambas as definições que ambas as figuras se assemelham no seguinte sentido: (i) ambos os papéis se tratam de agentes de tratamento de dados, isto é, responsáveis pela utilização/gerenciamento dos dados pessoais dos titulares e; (ii) podem ser exercidos tanto por pessoas físicas quanto pessoas jurídicas, de modo que o fato de as decisões serem tomadas ou operacionalizadas por pessoa física em nada interfere na sua caracterização como Controlador ou Operador.
Quanto às suas diferenças, depreende-se que os aspectos mais relevantes da realização da atividade competem ao Controlador, enquanto ao Operador caberiam decisões relacionadas ao meio e à forma de execução das atividades delegadas pelo Controlador (como, por exemplo, a escolha de um software mais seguro ou adequado para a realização do tratamento, um provedor de armazenamento em nuvem, qual plataforma de assinatura digital utilizar, etc.)
Note-se que as decisões dos exemplos mencionados não interferem significativamente na finalidade da atividade, mas apenas na forma de operacionalizar a ordem e as instruções dadas pelo Controlador ao Operador. Em suma, os agentes se diferenciam pelo poder decisório e, também, pela essencialidade das decisões que podem tomar, de modo que o Controlador possui grande liberalidade para a tomada de decisões, enquanto as decisões do Operador devem estar vinculadas ao propósito pré-definido pelo Controlador e se limitar ao âmbito de operacionalização da atividade.
Note-se, ainda, que na existência de múltiplas empresas atuando conjuntamente no tratamento de dados, se todos os agentes: (i) possuírem autonomia para decidir sobre pontos essenciais da atividade; (ii) possuírem interesse direto na realização do tratamento; (iii) possam decidir sobre aspectos relacionados aos propósitos do tratamento; ou (iv) detenham capacidade de criação, alteração e desenvolvimento de atividades de tratamento, não se fala mais na relação entre Controladores e Operadores, mas sim na multiplicidade de Controladores, respondendo solidariamente perante os titulares nos casos de incidentes danosos.
Por fim, mostra-se importante destacar que uma empresa pode ser, simultaneamente, Controladora e Operadora de dados, a depender da atividade realizada e do contexto de análise. Exemplificativamente, é possível que a empresa seja tida como Controladora dos dados de seus colaboradores, enquanto atua como Operadora dos dados fornecidos por clientes para quem presta serviços.
Qual o papel do Encarregado (DPO) na LGPD?
Além das figuras dos “agentes de tratamento” – isto é, o Controlador e o Operador de dados pessoais –, a LGPD traz, ainda, a figura do Encarregado (também conhecido como Data Protection Officer ou DPO), que é uma pessoa – física ou jurídica – ou comissão indicada pelos agentes de tratamento para atuar como o canal de comunicação entre os agentes, os titulares de dados e a Autoridade Nacional de Proteção de Dados (ANPD – órgão responsável por zelar pela proteção de dados pessoais no Brasil, garantir a aplicação e fiscalizar o cumprimento da LGPD).
É ele o responsável por colher demandas, reclamações e comunicações dos titulares e da ANPD, prestar os devidos esclarecimentos, orientar os agentes para que sejam tomadas as providências cabíveis, garantir a observância da LGPD e das medidas de segurança de dados implementadas, orientar funcionários e parceiros a respeito dos procedimentos e cuidados necessários e lidar com eventuais incidentes de segurança e vazamento de dados, orientando as ações dos agentes no sentido de cumprir com um plano de ação pertinente.
Como visto, embora não seja um “agente de tratamento” propriamente dito, o Encarregado desempenha um papel fundamental nas atividades de tratamento, integrando a equipe dos Controladores e Operadores e fazendo valer a LGPD no âmbito de cada empresa. É, portanto, uma peça chave para todas as questões que envolvam tratamento e proteção de dados, bem como na implementação, validação e aplicação dos projetos de conformidade à LGPD dentro das empresas.
A contratação de um Encarregado (DPO)
Por servir como meio de comunicação com as autoridades de proteção de dados e os próprios titulares, além de servir como um dos líderes de implementação da LGPD no âmbito interno da empresa, a contratação de um encarregado capacitado deve ser um dos grandes pontos de atenção nos processos de conformidade.
Inicialmente, vale destacar que o ideal é que o Encarregado seja escolhido antes ou durante o processo de formatação e implementação do projeto de adequação à LGPD, para que possa auxiliar no seu desenvolvimento e implementação prática na empresa.
Em geral, é preferível prezar pela proximidade, privilegiando pessoas (físicas ou jurídicas) ou comissões integradas por membros da equipe que conheçam, com certa intimidade, a realidade prática da empresa, isto é, seus processos internos, como é o fluxo de dados ao longo dos setores, como, por quem e com qual finalidade as atividades são desenvolvidas. Quanto maior a familiaridade do Encarregado com as nuances da empresa, mais rápidas e assertivas serão suas respostas sempre que for solicitado e, consequentemente, melhor será o desempenho de sua função.
Outro aspecto relevante na contratação de um Encarregado é a busca por alguém que detenha conhecimentos interdisciplinares. Ainda que o DPO não precise possuir expertise extrema em todas as áreas, é importante que tenha certa desenvoltura para lidar com aspectos legais e jurídicos, relacionados à tecnologia da informação, operacional e financeiro da empresa e até à gestão de pessoas e recursos humanos. Quanto mais multidisciplinar for o DPO, melhor.
Além disso, o Encarregado também deve ter certa autonomia de atuação (até, obviamente, alcançar o patamar das tomadas de decisão – atribuição que não lhe cabe) e, idealmente, não acumularia funções, a fim de evitar eventuais conflitos em sua atuação.
Nomeado o Encarregado, é importante que haja uma divulgação transparente dos meios de contato, a fim de garantir que os titulares, autoridades e demais interessados possam utilizar esse canal de comunicação sempre que desejarem.
Quais as possíveis penalidades por eventuais violações à LGPD?
A LGPD traz em seu bojo uma série de sanções que podem ser adotadas em caso de descumprimento das regras estabelecidas pela lei.
Tais sanções variam desde advertências, passando por bloqueio de dados e suspensão temporária das atividades de tratamento até multas de até 2% do faturamento do agente infrator, com limite de até R$ 50 milhões.
A seguir, a lista completa de possíveis sanções previstas pela LGPD:
Advertência, com indicação de prazo para adoção de medidas corretivas;
Multa de até 2% do faturamento do infrator, limitada à R$ 50 milhões por infração;
Multa diária, limitada aos mesmos valores;
Publicização da infração;
Bloqueio dos dados pessoais relacionados à infração até que ocorra a regularização;
Eliminação dos dados pessoais relacionados à infração;
Suspensão parcial do funcionamento do banco de dados relacionado à infração, pelo prazo máximo de 6 meses (prorrogáveis por mais 6 meses, totalizando a possibilidade de um ano de suspensão) até a regularização da atividade de tratamento pelo agente infrator;
Suspensão do exercício da atividade de tratamento de dados envolvidos na infração pelo prazo máximo de 6 meses (prorrogáveis por mais 6 meses, totalizando a possibilidade de um ano de suspensão);
Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Estas sanções podem ser impostas após a instauração do processo administrativo adequado e podem ser aplicadas de forma gradativa, isolada ou cumulativa, de acordo com o caso concreto.
Para tanto, a LGPD indica, também, alguns parâmetros e critérios preestabelecidos que serão analisados em cada caso para balizar a imposição da sanção adequada, tais como: (i) a gravidade da infração; (ii) a boa-fé ou má-fé do infrator; (iii) a condição econômica do infrator; (iv) a reincidência de infrações; (v) a extensão do dano causado; (vi) a cooperação do infrator; (viii) a adoção de mecanismos e procedimentos internos preventivos, a adoção de boas práticas e implementação de medidas de segurança adequadas.
Note-se que, enquanto as multas monetárias chamem atenção, especialmente de empresas de pequeno e médio portes, a LGPD prevê sanções muito mais incisivas, que garantem a observância da lei mesmo por parte de negócios gigantescos e já consolidados nacional ou internacionalmente – que podem vir a ter prejuízos reputacionais e financeiros muito maiores caso sejam obrigados a divulgar os incidentes ocorridos, suspender determinadas atividades ou percam o acesso aos seus bancos de dados.
Sobre o tema, importa destacar que, ainda que a LGPD se aplique à todas as empresas, a ANPD já iniciou a elaboração de diretrizes de regulamentação para aplicação mais simplificada da LGPD, levando em consideração as peculiaridades de micro e pequenas empresas. Este regulamento, somado aos critérios de imposição das sanções, deve significar penalidades mais brandas à startups, microempresas, EPPs e MEIs, por exemplo.
Além disso, a lei estimula as boas práticas e a manutenção de um estado saudável de governança corporativa, na medida em que a postura proativa e preventiva dos agentes pode lhes ser benéfica no momento de eventual imposição de sanção administrativa.
O que são e quais as diferenças entre dados anonimizados e “pseudonimizados”?
O que é um dado anonimizado?
Ao contrário do “dado pessoal”, dado anonimizado é aquele que, embora originalmente se vinculasse a um indivíduo específico, passou por um processo de desvinculação, de modo que não é mais capaz de identificar ou se relacionar direta e objetivamente com seu titular. Ou seja, o dado anonimizado é aquele dado que não identifica ou revela a identidade de seu titular.
A LGPD define que o dado anonimizado impede a identificação de seu titular “considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento”.
Como anonimizar um dado pessoal?
Para que um dado pessoal se transforme em um dado anonimizado, é necessário algum tipo de procedimento que realize tal conversão – a anonimização. Nesse sentido, nos termos da LGPD, anonimização é a “utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo”. Trata-se de um mecanismo por meio do qual se busca dissociar, em caráter permanente, um dado de seu titular, de forma irreversível.
Depreende-se dessa definição que um dado só será considerado anonimizado caso não seja possível, dentro de parâmetros técnicos e financeiros razoáveis, “desfazer” o processo de anonimização, ou seja, reconstruir o caminho utilizado no processo de anonimização para revelar ou descobrir o verdadeiro titular do dado antes tido como anonimizado.
Por isso, o caráter “permanente” e a “irreversibilidade” são tão importantes dentro deste processo: caso seja possível, por meios razoáveis, identificar o titular, o dado perde sua característica de anonimizado.
Note-se, então, que a mera possibilidade de reversão do processo de anonimização não é suficiente para deslegitimar tal processo. Tal procedimento não precisa ser absolutamente irreversível, bastando que sua reversão não possa ser realizada com razoável facilidade, sem o dispêndio de muito esforço, tempo ou recursos extraordinários.
Desse modo, se o processo de anonimização somente for reversível por meio da utilização de tecnologias ou técnicas de ponta, de difícil acesso, ou exigir meios demasiadamente custosos ou demorados, que ultrapassem a noção de razoável, para sua reversão, o dado permanece sendo considerado anonimizado para os fins da lei.
O que é a pseudonimização de dados pessoais?
Em contraposição à rigidez que caracteriza o processo de anonimização, tem-se o procedimento de pseudonimização, considerado mais flexível porquanto não busca impossibilitar a identificação do titular, mas sim limitar os meios que possam ser utilizados para isso.
Explica-se: enquanto a anonimização é um processo de desvinculação/dissociação do dado com seu titular, a pseudonimização é um mecanismo de “disfarce” ou “ocultação” do titular de um dado. Trata-se de processo por meio do qual os dados não podem mais ser atribuídos ao seu titular sem que se recorra à outras informações ou chaves correlatas, em posse do próprio controlador dos dados.
Assim, o controlador do dado “mascara” seu banco de dados por meio de um método que possa ser revertido apenas se utilizando informações suplementares, mantidas separadamente, em seu próprio controle.
Portanto, a principal diferença entre os processos de anonimização e pseudonimização é que enquanto a anonimização pretende garantir a irreversibilidade do processo de dissociação de um dado pessoal de seu titular, a pseudonimização permite a reversão desse processo através de técnica ou informação suplementar em posse do próprio controlador.
Diferenças de tratamento entre dados anonimizados e pseudonimizados pela LGPD
Feito o procedimento de anonimização sobre um dado pessoal (ou conjunto de dados), este perde seu caráter “pessoal” e, consequentemente, as normas e obrigações impostas pela LGPD não mais se aplicam ao seu tratamento. Desse modo, tal processo possibilita que o controlador se utilize dessas informações anonimizadas para finalidades diversas que entenda pertinentes, sem estar sujeito aos ditames legais.
O mesmo não ocorre com os dados pseudonimizados, que precisam continuar sendo tratados em observância às normas da LGPD.
Isso não significa, contudo, que a pseudonimização não possui qualquer benefício: sob a ótica da segurança da informação e proteção de dados, a pseudonimização funciona como uma forma de reduzir os riscos aos titulares ao prevenir eventuais danos causados por incidentes de vazamento. Afinal, se houver o vazamento dos dados pseudonimizados sem as informações suplementares necessárias para sua decodificação, as identidades dos titulares permanecerão resguardadas.
Em resumo, então, é possível dizer que:
Anonimização
De um lado, a anonimização é um processo mais delicado, que exige uma constante manutenção e verificação do estado de anonimato, além da possível eliminação de diversas informações, antes plenamente acessíveis pelo controlador, para garantir a anonimização efetiva, mas que recebe uma maior liberdade de tratamento. Em outras palavras, os controladores de dados anonimizados possuem mais liberdade na utilização de informações possivelmente mais escassas e genéricas à sua disposição.
Pseudonimização
De outro lado, a pseudonimização é um processo mais simples, que mantém todas as informações à disposição do controlador às custas de oferecer um menor nível de segurança – quando comparado à anonimização –, razão pela qual permanece adstrito às normas, cuidados e obrigações da LGPD. Desse modo, os controladores de dados pseudonimizados possuem uma menor autonomia para utilizar as informações mais completas e precisas das quais estão em posse, devendo tomar mais cuidados e atender às disposições da LGPD.
Quais são as bases legais que permitem o tratamento de dados pela LGPD?
O que são as “bases legais” da LGPD?
“Bases legais” é o termo utilizado para designar as hipóteses previstas pela LGPD que autorizam a realização de operações de tratamento de dados.
Um dos requisitos de validade e regularidade de uma determinada atividade de tratamento é que possua amparo legal em algumas das hipóteses listadas pela LGPD. Assim, a menos que a atividade se vincule a uma das “bases legais” arroladas pela lei, não seria possível realizar o tratamento dos dados vinculados aquela atividade.
Em outras palavras, as bases legais servem como condições impostas pela LGPD para justificar e possibilitar o tratamento de dados em uma determinada atividade, que deve ter estar atrelada a pelo menos uma das bases legais para que seja reputada como regular.
Quais são as bases legais trazidas pela LGPD?
A LGPD atribui bases legais diferentes para o tratamento de dados categorizados como “dados pessoais” e os “dados pessoais sensíveis”. Portanto, o primeiro passo para definir a base legal correta para uma determinada atividade é entender qual a natureza dos dados tratados.
Bases de tratamento de Dados Pessoais
Para o tratamento de Dados Pessoais, a LGPD apresenta dez bases legais, que são as seguintes:
1. Obtenção de consentimento do titular dos dados;
Ressalte-se que, pela LGPD, o consentimento é a “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”.
Por manifestação “livre, informada e inequívoca”, entende-se que seja aquela manifestação fornecida pelo titular dos dados de forma voluntária ou espontânea – isto é, sem qualquer forma de coerção, pressão ou imposição - mediante conhecimento de todas as informações, riscos, direitos e obrigações relacionadas às operações de tratamento de dados que serão realizadas. Esta manifestação implica, ainda, a compreensão clara e completa, por parte do titular, daquilo para que se está fornecendo o consentimento.
Também, ao se falar em “finalidade específica”, nota-se que a lei proíbe a requisição de “consentimentos genéricos”, para operações ou fins indeterminados, abstratos ou vagos. Assim, ao se coletar o consentimento do titular para uma determinada operação de tratamento, é preciso especificar claramente quais as razões que justificam a coleta de dados, por que eles serão utilizados e quais os limites dessa utilização.
Finalmente, o consentimento precisa ser expresso, isto é, não se pode “presumir” que o titular consentiu com o tratamento de dados, fazendo-se necessário obter sua autorização de forma explícita.
2. Cumprimento de obrigação legal ou regulatória pelo Controlador dos dados;
3. Exclusivamente pela administração pública, para o tratamento de dados necessários à execução de políticas públicas;
4. Exclusivamente por órgãos de pesquisa, para a realização de estudos (como históricos, científicos, tecnológicos ou estatísticos) – garantindo-se, sempre que possível, a anonimização dos dados envolvidos;
5. Execução de contrato ou de procedimentos preliminares relacionados a contrato do qual o titular seja parte contratante, a pedido do próprio titular;
6. Exercício regular de direitos em processo judicial, administrativo ou arbitral;
7. Proteção da vida ou da incolumidade física do titular dos dados ou de terceiro;
8. Tutela da saúde, exclusivamente em procedimentos realizados por profissionais de saúde, serviços de saúde ou autoridades sanitárias;
9. Quando necessário para atender aos interesses legítimos do controlador ou de terceiro, desde que observadas e respeitadas as liberdades e direitos dos titulares dos dados;
10. Proteção do crédito.
Vale reiterar que uma mesma atividade pode se enquadrar em diversas hipóteses legais e que, no tratamento de dados pessoais, não existe uma “hierarquia” entre as bases legais apresentadas pela LGPD – isto é, não existe alguma base legal que deva ter “preferência” ou que seja “superior” às demais.
Bases de tratamento de Dados Pessoais Sensíveis
Por outro lado, para o tratamento de Dados Pessoais Sensíveis, a LGPD apresenta apenas oito bases legais, com diferenças relevantes das bases legais de dados pessoais. São as seguintes:
1. Obtenção de consentimento do titular dos dados – que deve ser específico e destacado, para finalidades específicas;
2. Cumprimento de obrigação legal ou regulatória pelo Controlador dos dados;
3. Exclusivamente pela administração pública, para o tratamento de dados necessários à execução de políticas públicas;
4. Exclusivamente por órgãos de pesquisa, para a realização de estudos (como históricos, científicos, tecnológicos ou estatísticos) – garantindo-se, sempre que possível, a anonimização dos dados envolvidos;
5. Exercício regular de direitos relacionados a contrato ou processo judicial, administrativo e arbitral.
6. Proteção da vida ou da incolumidade física do titular dos dados ou de terceiro;
7. Tutela da saúde, exclusivamente em procedimentos realizados por profissionais de saúde, serviços de saúde ou autoridades sanitárias;
8. Exclusivamente em processos de identificação e autenticação de cadastro em sistemas eletrônicos, prevenção à fraude e à segurança do titular, desde que resguardados os direitos e liberdades dos titulares dos dados.
Dados Pessoais X Dados Pessoais Sensíveis – Diferenças das bases legais
Inicialmente, vale mencionar que, contrariamente ao que ocorre no tratamento de dados pessoais, onde as bases legais não possuem “hierarquia”, a LGPD dá prioridade para a coleta do consentimento do titular para o tratamento de dados pessoais sensíveis, listando as demais bases como alternativas à coleta do consentimento.
Outrossim, embora existam muitas semelhanças entre as duas relações de bases legais, há que se notar que algumas delas são específicas para uma determinada categoria de dados, mostrando-se pertinente as detalhar a seguir.
Quanto à execução de contrato, embora a LGPD permita o “exercício regular de direitos, inclusive em contratos” envolvendo dados sensíveis, a finalidade específica de execução contratual se vincula exclusivamente ao tratamento de dados pessoais, não se aplicando aos dados pessoais sensíveis.
O mesmo ocorre com a “Proteção ao Crédito”, isto é, atividades de análise de risco e aprovação de crédito em possíveis empréstimos requisitados pelo titular, registro de dívidas, inscrições em órgãos como Serasa ou garantia da possibilidade das cobranças por dívidas contraídas pelo titular. Assim, a proteção ao crédito – geralmente do Controlador – se presta a justificar apenas o tratamento de dados pessoais, não de dados pessoais sensíveis.
A última base legal exclusiva do tratamento de dados pessoais é o legítimo interesse. A LGPD conceitua o legítimo interesse como fundamento para tratar dados pessoais “para finalidades legítimas, consideradas a partir de situações concretas”.
Por ter uma definição propositalmente genérica, trata-se, de uma base mais “flexível”, que pode ser utilizada com certa discricionariedade pelos Controladores, mas que, em contrapartida, exige alguns cuidados para que seja aplicada de forma válida.
Alguns desses cuidados relacionados aos legítimo interesse são: (i) deve ser aplicado a atividades relacionadas ao core business da empresa; (ii) a atividade deve se utilizar apenas dos dados estritamente necessários para as finalidades pretendidas; (iii) deve-se adotar medidas de garantir a transparência do tratamento na atividade e; (iv) exige a avaliação da proporcionalidade e equilíbrio entre os objetivos visados pelo Controlador e os direitos, liberdades e expectativas dos titulares – avaliação esta geralmente materializada por meio de um documento chamado LIA, o “Legitimate Interest Assessment” ou “Avaliação de Legítimo Interesse”.
Finalmente, apesar de não contar com as bases legais anteriormente mencionadas, o rol de hipóteses que autorizam o tratamento de dados pessoais sensíveis também conta com uma base legal exclusiva: a prevenção à fraude e à segurança do titular em processos de identificação e autenticação de cadastro em sistemas eletrônicos.
Certos meios de identificação e autenticação podem envolver digitais, dados biométricos ou reconhecimentos faciais. Tais métodos podem ser necessários para confirmar a identidade do titular de dados e incrementar sua segurança em procedimentos como transações bancárias, operações financeiras, acesso a locais restritos, etc., o que justifica sua inclusão no rol de bases legais autorizadoras do tratamento de dados pessoais sensíveis.
O que é incidente de segurança e quem são os responsáveis pela LGPD?
O que é um “incidente de segurança”?
Também conhecido como “data breach”, um incidente de segurança – no âmbito da LGPD e da proteção de dados – é qualquer evento em que há potencial, suspeita ou confirmação de violação na segurança e/ou integridade de dados pessoais, seja ela intencional (ilícita) ou acidental.
É dizer, então, que incidente de segurança é um termo que abarca qualquer ocorrência envolvendo o acesso não autorizado, vazamento, destruição, perda ou alteração de dados pessoais, assim como qualquer forma inadequada ou irregular de tratamento de dados que possa ocasionar danos aos titulares ou violar os direitos garantidos pela LGPD.
Quem responde pela ocorrência de incidentes de segurança?
A LGPD estabelece que Controladores e Operadores de dados responderão pelos danos causados aos titulares em razão do exercício das atividades de tratamento, ao deixarem de adotar as medidas de segurança adequadas.
Verificadas, então, irregularidades ou violações à LGPD, a responsabilidade dos agentes será atribuída da seguinte forma:
Controlador
O Controlador responderá por todos os danos causados aos titulares pela atividade desenvolvida em desrespeito aos ditames legais. Caso exista multiplicidade de controladores diretamente envolvidos na atividade irregular, todos eles responderão, conjuntamente, pelos danos eventualmente causados.
Operador
O Operador, por sua vez, responderá de forma subsidiária (isto é, haverá uma “ordem de preferência” da responsabilização do Controlador) quando atuar de acordo com as orientações (irregulares) emitidas pelo Controlador sem violar, em tese, as disposições legais. Entretanto, caso o Operador descumpra as normas legais ou as instruções lícitas/regulares emanadas pelo Controlador, gerando danos aos titulares de dados, este responderá de forma solidária perante esses titulares lesados, isto é, será responsabilizado conjuntamente ao Controlador, equiparando-se a ele para todos os fins, sem diferenciação ou “ordem de preferência” entre um e outro.
Paralelamente, além da responsabilização e reparação de dados perante os titulares, a ocorrência de um incidente de segurança pode implicar, também, aplicação das sanções administrativas (tais como advertências, multas, bloqueio ou eliminação de dados pessoais, suspensão das atividades, dentre outras), por parte da ANPD, aos agentes envolvidos.
O que fazer diante da ocorrência desses incidentes?
Durante a implementação de um plano de conformidade à LGPD, é importante que o agente defina uma espécie de “roteiro” contendo os planos de ação e medidas a serem tomadas diante da ocorrência de incidentes de segurança.
Este roteiro, também chamado de Plano de Resposta a Incidentes (“PRI”, ou, do inglês, Data Breach Response - DBR) é um plano previamente elaborado visando a nortear as ações e condutas a serem empreendidas pela organização com o objetivo de reduzir, conter ou evitar danos após a ocorrência de um incidente de segurança.
Em geral, o PRI deve envolver:
1. Investigação e avaliação interna sobre o incidente, com a elaboração de um relatório contendo a descrição dos dados afetados, titulares envolvidos, medidas de segurança implementadas e os riscos relacionados ao acidente. Nesse sentido, já há um modelo de formulário de avaliação oferecido pela própria ANPD em seu site;
2. Acionar o “comitê de crises” – ou qualquer órgão de equipe interno correspondente –, a fim de coordenar as ações a serem tomadas;
3. Elaborar planos de notificação e comunicação interna e externa sobre o incidente, o que pode envolver, conforme o caso:
3.1. Comunicação ao Encarregado;
3.2. Comunicação aos colaboradores ou membros-chave da equipe, tais como líderes de setores, chefes de segurança/privacidade, etc.;
3.3. Comunicação aos demais agentes envolvidos na operação de tratamento – especialmente dos Operadores aos Controladores;
3.4. Comunicação à ANPD e aos titulares dos dados, quando houver risco ou dano sensível aos titulares, seus direitos, segurança ou liberdades;
3.5. Estabelecimento de um canal de comunicação para os titulares afetados;
3.6. Comunicação à imprensa ou ao público em geral;
4. Estabelecer diretrizes e medidas de segurança a serem adotadas ou reforçadas;
5. Providenciar ou atualizar o relatório de impactos;
6. Elaborar ou organizar a documentação contendo a os detalhes sobre o incidente e as medidas implementadas antes e depois de sua ocorrência, em atenção à necessidade de prestação de contas imposta pela LGPD;
7. Acionar o seguro com cobertura específica para incidentes de segurança, se houver sido contratado.
O que é a ANPD e qual o seu papel?
O que é a ANPD?
ANPD é a “Autoridade Nacional de Proteção de Dados”, instituída pela Medida Provisória nº 869 de 2018. Trata-se de um órgão federal responsável por zelar pela proteção de dados pessoais no Brasil, garantir a aplicação e fiscalizar o cumprimento da LGPD.
A criação de uma autoridade independente, com autonomia técnica e decisória, se fez necessária para garantir que a LGPD transcenda o âmbito teórico e ganhe concretude e aplicação prática; nesse sentido, a entidade é responsável por direcionar, de forma eficiente, as normas sobre privacidade e proteção de dados.
Em termos mais simplistas, a ANPD é para a proteção de Dados o que a ANATEL é para o setor de telecomunicações ou o PROCON para o âmbito consumerista, isto é: uma autoridade responsável por emanar normas de orientação e informação à população em geral, estabelecer padrões técnicos, servir como canal de comunicação, receber e julgar denúncias e irregularidades, aplicar sanções e demais atividades que se vinculem à fiscalização, regulação e aplicação da LGPD.
Qual o papel da ANPD no âmbito da LGPD e da proteção de dados?
Nos termos colocados pela própria ANPD, “A missão institucional da ANPD é assegurar a mais ampla e correta observância da LGPD no Brasil e, nessa medida, garantir a devida proteção aos direitos fundamentais de liberdade, privacidade e livre desenvolvimento da personalidade dos indivíduos”.
Depreende-se da própria definição da ANPD que o órgão acumula diversas funções e detém um papel consideravelmente amplo no âmbito da LGPD. Nesse contexto, destacam-se as principais competências e atribuições da ANPD:
Zelar pela proteção de dados, observando o disposto na LGPD e agir no sentido de garantir seu cumprimento;
Editar normas complementares e nortear a aplicação e interpretação da LGPD, de modo a criar um arcabouço normativo cada vez mais claro e completo, suprindo eventuais lacunas;
Elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade, com a finalidade de nortear os agentes de tratamento para que atuem em conformidade com as normas;
Promover informações e fornecer orientações à população em geral (em especial aos titulares de dados e agentes de tratamento) acerca da importância da proteção de dados, direitos e deveres que possuam e demais disposições legais sobre a matéria; isto é, difundir, na sociedade, o conhecimento sobre as normas e políticas de segurança e proteção de dados;
Estabelecer padrões técnicos relacionados ao tratamento de dados, de modo a guiar as boas práticas de atividades de tratamento e estimular/guiar a adoção desses padrões por parte dos agentes de tratamento;
Promover o exercício de controle dos titulares sobre seus dados pessoais;
Atuar como elo entre a sociedade e o governo e servir como canal de comunicação para os Titulares e autoridades competentes, recebendo queixas, denúncias, dúvidas e sugestões, além de realizar consultas públicas e pesquisar sobre os principais interesses e pontos de atenção da sociedade no que tange à proteção de dados, inclusive prestando contas sobre suas atividades e planejamento;
Fiscalizar o cumprimento da LGPD, realizando auditorias, analisando relatórios de impactos, firmando compromissos com os agentes de tratamento visando a eliminar irregularidades e promover o integral cumprimento das disposições legais;
Investigar a ocorrência de irregularidades e conduzir processos administrativos regularmente;
Aplicar as sanções cabíveis, sempre que necessário, além de comunicar as autoridades competentes em caso de constatação de ocorrências de infrações penais;
Garantir que a aplicação da LGPD se adeque à realidade de públicos específicos, seja por parte de agentes de tratamento (simplificando ou flexibilizando as exigências para microempresas, empresas de pequeno porte e startups), seja pelos titulares (promovendo exigências mais rígidas quanto ao cuidado e segurança de dados de menores ou de idosos, demandando maior clareza, simplicidade e acessibilidade);
Manter contato e promover ações de cooperação com autoridades de proteção de dados internacionais ou transnacionais, promovendo estudos, ações conjuntas, observando as práticas internacionais e importando as melhores práticas ao país, além de garantir a regularidade dos parâmetros de proteção de dados brasileiros com os parâmetros globais.
Nota-se que as atribuições da ANPD vão muito além de fiscalizar e punir irregularidades. Realmente, espera-se do órgão uma atuação muito mais completa, com ênfase na prevenção e fomento do conhecimento acerca da proteção de dados.
Qual a importância da ANPD?
Evidentemente, as funções da ANPD são essenciais para a aplicação da LGPD. O órgão, como visto, desempenha um papel relevante sob diversos aspectos: informativo, educativo, interpretativo, regulamentador, fiscalizador e sancionatório, dentre tantos outros.
Dessa forma, é imperativo que exista um órgão federal independente do Poder Executivo que centralize estas funções e seja capaz de articular a aplicação da LGPD nacionalmente. É dizer que a instituição da ANPD visa a conferir mais especificidade e expertise na atuação do órgão.
Ademais, dispor de uma autoridade de proteção de dados com autonomia técnica e decisória, como é a ANPD, sinaliza ao cenário internacional, especialmente aos países adequados ou em processo de adequação ao novo paradigma da privacidade de dados pessoais, que o Brasil também está comprometido na adoção de medidas práticas visando a proteção dos dados pessoais, o que pode ser decisivo para a manutenção e crescimento de relações e negociações internacionais em diversos segmentos.
Neste esteio, a ANPD também é indispensável não apenas para garantir que o Brasil esteja em conformidade com o restante do mundo, mas também para assegurar que empresas estrangeiras que venham a atuar no país ou tratar dados oriundos do Brasil também obedeçam aos requisitos mínimos de segurança, privacidade e proteção de dados.
Passo a passo básico para a implantação de um projeto de conformidade à LGPD
Com a entrada em vigor da LGPD, muitas empresas já passaram a se preocupar com a implantação de um processo de conformidade com as normas de proteção de dados.
Todavia, por se tratar de matéria legislada recentemente no país, ainda há pouca orientação e posicionamentos oficiais da ANPD e do poder judiciário sobre parâmetros e critérios de conformidade. Somado a isso, tem-se um oceano de conteúdos esparsos sobre o tema em livros e artigos na internet, o que pode gerar incertezas sobre a melhor forma de iniciar e conduzir o projeto de adequação.
Embora o processo de conformidade deva observar a realidade específica de cada negócio, levando em consideração suas particularidades, é possível observar as disposições da LGPD, as melhores práticas internacionais e as orientações já emanadas pela ANPD para traçar um roteiro básico de implementação de projetos de adequação, com as etapas mínimas a serem seguidas, com o fim de nortear o processo de adequação das empresas em geral.
Estas etapas, portanto, serão listadas a seguir:
1. Realizar um mapeamento do fluxo de dados da empresa
Em um primeiro momento, é indispensável entender que tipo de dados são tratados pela empresa e qual o “caminho” percorrido por ele entre os diversos setores, até sua eliminação.
Assim, buscam-se respostas para perguntas como:
Quais são os dados coletados?
Os dados coletados são dados pessoais ou dados pessoais sensíveis?
Como é realizada a coleta?
Qual a finalidade da coleta e tratamento de cada um desses dados?
Os dados coletados são essenciais para a atividade a qual estão envolvidos e para as finalidades propostas ou existem dados dispensáveis?
Quem são os titulares?
Quem possui acesso a cada um dos dados?
Há compartilhamento desses dados com terceiros?
Por quanto tempo os dados serão mantidos?
Qual o meio utilizado para armazenamento e tratamento desses dados?
Quando e como será feita a eliminação desses dados?
As respostas obtidas permitirão o estabelecimento de diretrizes e um plano de ações eficaz e condizente com a realidade da empresa.
2. Atribuição das bases legais adequadas para cada atividade de tratamento
Com o mapeamento do fluxo de dados da empresa, será possível compreender exatamente qual o propósito de cada atividade de tratamento, bem como seu funcionamento detalhado.
Diante disso, é importante atrelar cada atividade de tratamento à base legal adequada, conforme as possibilidades estabelecidas pela LGPD.
Todas as atividades de tratamento precisam estar enquadradas em uma das hipóteses legais previstas pela LGPD, de modo que fazer esta verificação auxiliará na continuidade da atividade de acordo com os parâmetros legais ou, sucessivamente, indicará a necessidade de adequação ou interrupção da atividade, caso sua realização não possa se encaixar em qualquer uma das hipóteses legais.
3. Promover a revisão e adequação dos contratos e documentos em vigência
Muito provavelmente, uma das maiores necessidades que exsurgirão após os primeiros passos será a adequação dos documentos já utilizados pela empresa. Realmente, ainda que não estivéssemos tratando de um projeto de adequação à LGPD, sempre é possível aprimorar os documentos de seu negócio.
Contudo, em se tratando da nova realidade do tratamento de dados, será de suma importância rever documentos como contrato social, contratos de parceria, contratos de compra e venda ou prestação de serviços, termos de uso e políticas de privacidade para que sejam adaptados à nova realidade, de modo a proteger os interesses de todos os envolvidos: empresa, colaboradores, parceiros, fornecedores e clientes.
4. Elaborar documentos complementares específicos
Possivelmente a empresa ainda não possua os termos de uso e políticas de privacidade atualizados e visíveis em seu domínio eletrônico, ou, talvez, não regule de maneira satisfatória a forma como se dá o compartilhamento de dados entre as empresas parceiras.
Assim sendo, um dos grandes passos em direção à conformidade é complementar o arcabouço de documentos com a elaboração de todos os documentos que se fizerem necessários, tais como: termos de consentimento, contratos relacionados ao Encarregado, o Data Processing Agreement – documento utilizado para regular eventuais compartilhamentos de dados, especificando os requisitos de tratamento, suas finalidades, bem como delimitando as responsabilidades no caso de infração por uma das partes –, o LIA (“Legitimate Interest Assessment” ou “Avaliação de Legítimo Interesse”), relatório de impactos e manual de boas práticas.
5. Treinar e orientar a equipe e fomentar uma reforma na cultura de trabalho
Mais do que executar um plano de ações, é preciso garantir a manutenção do estado de conformidade. Por isso, faz-se necessário adotar novas políticas internas e fazer um trabalho de divulgação e orientação com toda a equipe.
Garantir a adequação aos ditames legais não é responsabilidade apenas do setor jurídico, TI ou dos recursos humanos, mas sim de toda a empresa. Assim, é preciso que todos internalizem a cultura estabelecida pela LGPD, que preza por valores como a transparência, clareza, informação ampla, segurança e preservação da intimidade e privacidade.
6. Escolher com sabedoria os fornecedores, agências e empresas parceiras
De nada valerá toda a reforma estrutural e cultural se não houver, também, um procedimento mais criterioso na escolha das empresas com as quais você irá se envolver.
Afinal, além do fator econômico e prático, a adequação também impacta o aspecto reputacional da empresa, na medida em que é importante para os consumidores buscar empresas que ofereçam segurança, assim como para os demais empresários, que procuram se envolver com empresas que possuam o mesmo nível de responsabilidade que eles.
Dessa forma, buscar empresas que também estejam em processo de adequação trará, além de um respaldo reputacional entre os consumidores, uma maior segurança na proteção dos dados que estejam sob os cuidados de sua empresa.
7. Acompanhamento visando à manutenção do estado de conformidade
O estado de conformidade não é algo permanente. Portanto, após a implantação de todas as etapas anteriores, é preciso garantir a manutenção das novas políticas, medidas de segurança e processos internos implementados.
Em termos práticos, isso significa acompanhar o desenvolvimento das atividades antigas para garantir que continuam sendo realizadas da maneira adequada, atualizar a planilha de mapeamento com eventuais mudanças implementadas, certificar que novas atividades atendam os parâmetros legais antes de serem postas em prática, fazer com que novos membros da equipe conheçam e observem as diretrizes relacionadas ao tema, manter as medidas de segurança em constante teste de adequação e estabelecer revisões periódicas dos documentos utilizados pela empresa.
Em matéria de proteção de dados, diz-se que não se pode “ser” adequado, mas sim “estar” adequado. A manutenção desse estado requer esforços.
Tratamento e Proteção de Dados de Crianças e Adolescentes
Embora se trate de uma lei de aplicabilidade ampla, a LGPD confere cuidados especiais, com exigência de medidas de proteção diferenciadas, para certas categorias de dados e titulares. Exemplificativamente, quanto às categorias de dados, temos os Dados Pessoais Sensíveis, que possuem uma lógica mais restritiva em seu tratamento e menos bases legais que permitiriam seu tratamento, tendo em vista a delicadeza de suas informações para os Titulares.
Do mesmo modo, ao se falar de categorias de titulares especialmente protegidos pela LGPD, destaca-se as Crianças e Adolescentes (“Jovens”, para fins desta publicação), público que possui uma nítida fragilidade decorrente da ausência de experiência, vivência, conhecimento ou mesmo do estado de desenvolvimento de suas capacidades cognitivas.
Com efeito, é comum que os Jovens estejam menos cientes das implicações, riscos e consequências do tratamento de seus dados pessoais e fiquem alheios aos direitos que possuem, especialmente ao se considerar que o tratamento de dados pode ser uma atividade abstrata e com considerável grau de complexidade, o que dificulta a observação e compreensão a respeito de seu funcionamento – especialmente para as crianças.
Nesse sentido, observando o espírito de proteção integral inserido na Constituição Federal e reiterado pelo Estatuto da Criança e do Adolescente (ECA), a LGPD busca prover uma camada adicional de proteção aos Jovens, em atenção aos seus melhores interesses, por meio do estabelecimento de regras específicas para o tratamento de dados desse público.
Quem são as Crianças e Adolescentes, para os fins legais?
Antes de adentrar nas regras específicas para o tratamento de dados de titularidade dos Jovens, é importante compreender a definição legal de Crianças e Adolescentes.
De acordo com o ECA, Crianças são todas as pessoas com até 12 anos incompletos, enquanto Adolescentes são as pessoas entre 12 anos completos e 18 anos incompletos de idade.
Ao dispor sobre o tratamento de dados dos Jovens, a LGPD apresenta diversas disposições que, em caráter literal, somente se aplicariam à Crianças, excluindo-se os Adolescentes. Todavia, uma interpretação sistemática da norma em sua integralidade, bem como a comparação com demais diplomas vigentes – como o ECA e a própria Constituição – nos levam recomendar uma postura mais preventiva diante de tais institutos, que deveriam ser aplicados a todo o público Jovem indiscriminadamente, levando-se em consideração suas peculiaridades, fragilidades e seus melhores interesses.
Diante disso, até que tal situação seja complementada e/ou integrada por pareceres oficiais da ANPD ou por mudanças legislativas, recomenda-se que os cuidados previstos pela LGPD para Crianças se estendam também ao tratamento de dados pessoais de adolescentes, razão pela qual tal diferenciação não será apontada nas medidas listadas a seguir.
Quais as regras específicas para o tratamento de dados de Crianças e Adolescentes?
As disposições específicas sobre o tratamento de dados pessoais de crianças e adolescentes se encontram no art. 14 da LGPD, que determina, em primeiro lugar, que o tratamento de dados desse público deve ser realizado “em seu melhor interesse”. Desse modo, o “melhor interesse” dos Jovens é o fundamento básico que deve nortear toda e qualquer atividade de tratamento dos dados desse público.
Em outras palavras, o “melhor interesse” se trata de sempre levar em consideração, nas atividades de tratamento de dados dos Jovens, que tipo de medida, ação ou decisão seria mais adequada para a satisfação das expectativas, anseios e segurança dos Jovens. Em suma, o tratamento de seus dados deve se dar em prol de seu benefício e a proteção dos direitos e interesses desses Titulares deve se sobrepor aos interesses comerciais dos agentes de tratamento.
Necessidade de coleta de consentimento específico
Via de regra, a LGPD determina que o tratamento de dados pessoais dos Jovens somente poderá ocorrer mediante coleta de consentimento específico e destacado de um dos pais ou responsável legal.
Note-se que o consentimento em questão, além de livre, informado e inequívoco, deve ser manifestado de forma específica e em destaque, isto é, conter informações claras e completas quanto a todo o ciclo de vida dos dados tratados, feito de maneira granular e enfática dentro do documento específico.
Ademais, o Controlador dos dados deve empreender todos os esforços razoáveis, considerando os meios e as tecnologias disponíveis, no sentido de verificar que o responsável por fornecer este consentimento tenha sido, de fato, o responsável legal pelo Jovem, ou seja, verificar sua identidade e sua posição de responsável pelo Jovem titular dos dados tratados.
Entretanto, se o tratamento for necessário para contatar os pais ou responsável legal do Jovem ou visar sua proteção, ele poderá ocorrer sem o consentimento prévio, como exceção à regra. Todavia, ressalta-se que, segundo a LGPD, o tratamento com esta finalidade exclusiva deve ser feito uma única vez, sem armazenamento de dados ou compartilhamento com terceiros até que se obtenha o consentimento próprio.
Embora esta seja a única exceção legal mencionada expressamente, uma interpretação sistemática da norma permite considerar que também seria possível tratar os dados dos Jovens nos mesmos casos arrolados pela LGPD como hipóteses autorizadoras do tratamento de dados pessoais sensíveis – que já recebem um tratamento diferencial, mais seguro e restritivo.
Isto porque entende-se que a proteção e os melhores interesses dos Jovens podem abranger, também, situações como a execução de políticas públicas, proteção da vida e integridade física do titular, tutela da saúde, prevenção à fraude, dentre outras bases legais referentes aos dados pessoais sensíveis. Ademais, não haveria coerência em impor o descumprimento de obrigações legais por ausência de consentimento prévio dos pais ou responsável para uma determinada atividade eventualmente urgente. De qualquer modo, aguarda-se a validação dessa interpretação e os esclarecimentos a serem proferidos pela ANPD a respeito da questão, sendo certo que essa interpretação extensiva somente poderia ser defendida em vista dos melhores interesses dos Jovens e de sua proteção.
Dever de publicidade e clareza das informações sobre o tratamento
Somado às diversas obrigações de transparência exigidas pela LGPD, a legislação, ao regulamentar o tratamento de dados dos Jovens, impõe aos Controladores o dever de manter as informações relacionadas ao tratamento de dados dos Jovens (como os tipos de dados coletados, suas finalidades de coleta e uso e as formas de exercício dos direitos estabelecidos pela LGPD) públicas e claras.
Considerando o estado peculiar de desenvolvimento das capacidades dos Jovens e sua possível dificuldade de compreensão de conceitos abstratos, técnicos e jurídicos (como são muitos dos conceitos envolvendo a proteção de dados), a LGPD determina que as informações direcionadas a esse público sejam veiculadas de forma simples, clara e acessível, com o fim de prover, simultaneamente:
(i) a informação completa e necessária aos pais ou responsáveis legais e
(ii) de forma adequada ao entendimento do Jovem, inclusive com recursos audiovisuais que facilitem este entendimento.
Esta medida é importante para que os Jovens tenham um contato gradual e progressivo com seus direitos e passem a compreender a relevância da proteção de seus dados pessoais para que, conforme se desenvolvam e amadureçam, possam assumir a autodeterminação informativa pretendida pela LGPD.
Isto porque entende-se que a proteção e os melhores interesses dos Jovens podem abranger, também, situações como a execução de políticas públicas, proteção da vida e integridade física do titular, tutela da saúde, prevenção à fraude, dentre outras bases legais referentes aos dados pessoais sensíveis. Ademais, não haveria coerência em impor o descumprimento de obrigações legais por ausência de consentimento prévio dos pais ou responsável para uma determinada atividade eventualmente urgente.
De qualquer modo, aguarda-se a validação dessa interpretação e os esclarecimentos a serem proferidos pela ANPD a respeito da questão, sendo certo que essa interpretação extensiva somente poderia ser defendida em vista dos melhores interesses dos Jovens e de sua proteção.
