Escolar Documentos
Profissional Documentos
Cultura Documentos
DE DADOS PESSOAIS
PERGUNTAS E RESPOSTAS
SOBRE A NOVA REGULAMENTAÇÃO
AGOSTO DE 2018
1
A aprovação do projeto de lei de proteção de dados pessoais pelo Senado em
julho, e sua sanção pela Presidência da República na última terça-feira (14/8),
trouxe à tona o tema de proteção de dados e levantou diversas dúvidas sobre
qual será o impacto da nova legislação para o setor privado brasileiro.
Nesta edição especial, o VMCA organiza uma série de perguntas e res-
postas sobre a nova lei (LGPD ou Lei nº 13.709/2018), e trata de algumas das
consequências que ela terá para empresas, organizações da sociedade civil
e cidadãos.
Foram excluídos todos os artigos relativos à criação da Autoridade Nacional de Proteção de Dados. A
justificativa foi a inconstitucionalidade por vício de iniciativa. Trocando em miúdos, apesar de origi-
nário do Executivo, a inserção da autoridade no projeto foi feita pelo Congresso, o que seria proibido
por conta do conteúdo da regra – criação de cargos e de estruturas na Administração. A promessa é
de que o governo edite uma Medida Provisória que reproduza os artigos 55 a 59 do projeto.
Também foram vetadas algumas das penalidades previstas no texto aprovado no Congresso: (i)
a suspensão total ou parcial de funcionamento de banco de dados, (ii) a suspensão do tratamento
de dados objeto da infração, e (iii) a proibição completa de operação com qualquer atividade rela-
cionada ao tratamento de dados. Ainda assim, as penas mantidas são relevantes e têm o potencial
de afetar significativamente a atividade das empresas.
Finalmente, foram vetados dispositivos que diziam respeito ao tratamento de dados pessoais
pelo poder público.
O impacto da lei é para toda a população brasileira, e ela estabelece regras para
o tratamento de dados não apenas pelo setor privado, mas também pelo setor
público.
Para as organizações privadas, a LGPD se aplica a toda e qualquer entidade
que faça tratamento de dados pessoais, ou seja, que lide e manipule “informa-
ção relacionada à pessoa natural identificada ou identificável” (art. 5º, I). Ou
seja, organizações privadas atuantes em qualquer setor da econômica estão
sujeitas à lei, sejam elas grandes, médias ou pequenas, independentemente de
atuarem online ou off-line ou de fazerem parte do terceiro setor.
2 Isso quer dizer que o dado a que a lei se refere é um dado de uma pes-
soa física apenas?
Sim, e esse ponto é de extrema relevância. A LGPD afirma com clareza que seu
escopo de aplicação são as informações relacionadas a pessoas naturais já iden-
tificadas ou que possam ser identificáveis. A LGPD estabelece apenas algumas
exceções, para as quais as exigências da norma não se aplicam:
4 Quais são as principais obrigações que uma entidade que faz trata-
mento de dados pessoais passará a ter?
A lei estabelece uma diferença importante entre o setor privado e o setor públi-
co no que diz respeito às exigências para o tratamento de dados. De toda forma,
ela traz princípios gerais que precisarão ser observados por todos.
O tratamento de dados de-
verá ter sempre uma finalidade PRINCÍPIOS GERAIS DO TRATAMENTO DE DADOS
legítima, devidamente informada
ao titular dos dados; será preci-
1. Finalidade
so que esse tratamento esteja
2. Adequação
adequado àquilo que foi efetiva- 3. Necessidade
mente informado ao titular e que 4. Livre Acesso
ele ocorra na medida necessária 5. Qualidade Dos Dados
para atingir essa finalidade. Além 6. Transparência
7. Segurança
disso, o titular sempre poderá ter
8. Prevenção
livre acesso aos seus dados e à
9. Não Discriminação
forma e à duração do tratamento,
10. Responsabilização e Prestação de Contas
sendo preciso garantir a qualida-
de dos dados – ou seja, garantir
A norma diz que o consentimento deve ser fornecido por escrito ou “por ou-
tro meio que demonstre a manifestação da vontade do titular”. É importante
notar que a lei estabelece uma outra regra, que diz expressamente que é
ônus de quem que faz o tratamento provar que o consentimento foi de fato
obtido – medida que precisará ser analisada e seguida com cuidado, por conta
do risco para o setor privado em futuras ações de indenização. Mais que isso,
a lei diz que o titular dos dados poderá, a qualquer momento, revogar o seu
consentimento – ou seja, as organizações precisarão implementar mecanismos
de monitoramento que impeçam o tratamento quando o consentimento não
é mais válido.
Relevante observar como as autoridades tratarão do assunto e qual será
o grau de exigência estipulado por elas para considerar que o consentimen-
to fornecido é suficiente para cumprir as exigências legais. A recomendação,
enquanto não há uma orientação mais clara sobre o tema, é lidar de forma
cautelosa e garantir que o titular dos dados forneça consentimento expresso,
explícito e específico.
A lei diz que dados sensíveis tratam “sobre a origem racial ou étnica, a convic-
ção religiosa, a opinião política, a filiação a sindicato ou a organização de cará-
ter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado
genético ou biométrico, quando vinculado a uma pessoa natural” (art. 5º, II).
O que precisa ser destacado é que nem sempre há clareza a respeito da
classificação do dado como sensível. É evidente que a identificação de uma pes-
soa como negra é, para a LGPD, um dado sensível. No entanto, não é tão simples
saber o que será considerado um dado sobre sua opinião política – se a norma
Existe uma obrigação geral para que a entidade adote mecanismos de segu-
rança para o tratamento de dados e também uma exigência expressa para que
o titular dos dados e as autoridades sejam comunicados, em prazo razoável,
sobre qualquer incidente de segurança que possa causar dano (ou mesmo ris-
co de dano) às pessoas físicas. A LGPD esclarece que as autoridades poderão
determinar normas técnicas mínimas a serem seguidas sobre esse tema, assim
como, a depender da gravidade do caso, determinar a adoção de medidas con-
cretas, que incluem a ampla divulgação do incidente na mídia e a reversão ou
mitigação dos efeitos do incidente.
Não existe qualquer tipo de proibição ao uso de algoritmos pela LGPD. Ainda
assim, o art. 20 fala sobre as decisões tomadas unicamente por meio de au-
tomação – ou seja, sem participação de seres humanos – e estabelece que o
titular dos dados pode, sempre que desejar, requisitar uma revisão da deci-
são automatizada, revisão essa que deverá ser levada a cabo por um ser hu-
mano. Mais ainda, a entidade responsável pelo tratamento deverá esclarecer
quais os “critérios e procedimentos utilizados para a decisão automatizada”.
A norma resguarda expressamente os segredos comercial e industrial, mas
ainda assim trata-se de uma obrigação relevante e possivelmente onerosa,
que precisa de atenção. Na prática, qual será o nível de detalhamento exigido
para considerar que os esclarecimentos sobre o funcionamento do algoritmo
são suficientes?
Um outro debate que certamente surgirá diz respeito ao que deve ser
considerada uma decisão “unicamente com base em tratamento automatiza-
do” de dados. Como dito, apenas as decisões totalmente automatizadas, ou
seja, tomadas inteiramente por algoritmos, estão sujeitas a essa regra. Mas
o que acontece, então, se houver um ser humano no processo, porém sem
qualquer capacidade decisória? Essa discussão já surgiu na União Europeia,
por conta da GDPR, e deve se apresentar também por aqui. Um outro aspecto
discutido na GDPR são as exigências para se considerar que houve revisão
efetiva por um ser humano. Se o papel humano for meramente de confirmar
a decisão tomada pela máquina, sem uma análise mais profunda sobre a cor-
reção dos critérios utilizados, a exigência legal estaria cumprida? Há muitas
dúvidas sobre esse tema que só serão esclarecidas por meio da aplicação
efetiva da lei em casos concretos; é preciso acompanhar cuidadosamente os
desenvolvimentos.
1. Desde que a alegação trazida seja verossímil, fique configurada a hipossuficiência do titular para
produção das provas, ou quando a produção de provas pelo titular for excessivamente onerosa.
Sim. Com a aprovação da LGPD, o Brasil passa a exigir que qualquer transfe-
rência de dados pessoais para outros países ou organizações internacionais
só ocorra se esse país ou organização possuir um regime jurídico com grau de
proteção adequado. A dúvida, evidentemente, é saber o que será considerado
um grau adequado de proteção. Será tarefa das autoridades fazer essa análise
– mas não se sabe ao certo qual autoridade terá tal atribuição, tendo em vista
que os artigos que criavam a autoridade nacional foram vetados e ainda não foi
editada outra norma que supra essa lacuna.
A figura do encarregado é uma das novidades que maior impacto pode ter para
o setor privado. O encarregado será a pessoa que atuará como canal de comu-
nicação entre a entidade, os titulares de dados pessoais e as autoridades. Essa
pessoa será indicada pela entidade e deverá desde receber reclamações dos ti-
tulares, e orientações das autoridades, até orientar os funcionários da entidade
sobre as melhores práticas de tratamento de dados.
Uma dúvida que se coloca é se toda e qualquer entidade que faz tratamento
de dados deverá, necessariamente, possuir um encarregado. A lei é explícita ao
Os relatórios de impacto talvez sejam uma das previsões legais que mais re-
forçam a importância de uma aplicação coesa e cautelosa da lei. Como as auto-
ridades terão a prerrogativa de solicitar informações das entidades sobre como
elas realizam seu tratamento de dados, e naturalmente emitir pareceres sobre a
adequação daquele tipo de tratamento, o grau de risco que ele representa etc.,
a parcimônia e a coerência se fazem prementes. O impacto de entendimentos
pouco robustos para os modelos de negócio podem ser significativos e podem,
em último caso, até mesmo impedir que certas inovações sejam levadas a cabo.