Você está na página 1de 19

LGPD

ANÁLISE MACRO,
ASPECTOS DE
IMPLANTAÇÃO E
OPINIÃO

1
Autores
Heitor Amaral Ribeiro
Larissa Campos

Revisão
Regina Nascimento Silva

Diagramação
Luciano Araújo

2
1. Análise Macro
Por muitos anos, as dis- dos, em 1970, na Alemanha. Em
cussões sobre proteção de da- sequência, com o crescimento
dos eram, ainda, incipientes. significativo da capacidade de
Apesar das inúmeras utiliza- processamento, sobretudo com
ções, propositais ou não, em a percepção clara da importân-
formatos de políticas públicas cia dos dados e, mais que isso,
ou como ferramentas de evo- com os pretensos efeitos nos
lução de marketing, comércio mais variados setores, várias ou-
e inteligência de negócios, o tras iniciativas tomaram forma.
manejo de dados corria solto, Em 1973, o Ato de prote-
sem regulamentação estru- ção de dados Sueco¹ deu início a
turada, ou seja, cada agente uma série de outras medidas nor-
construía sua própria cultura. mativas produzidas na Europa,
A privacidade, como especialmente em países como
“guarda-chuva” de uma série de França, Dinamarca e Alemanha.
decorrências de direitos, con- No ano de 1981, já de for-
templa em si a proteção dos ma mais estruturada, o Conse-
dados. Talvez por isso, a própria lho Europeu aprovou uma con-
Declaração dos Direitos Univer- venção denominada Convenção
sais dos Direitos Humanos, já 108, que tinha como objetivo
em 1948, tenha asseverado este claro a proteção de dados di-
direito. Ocorre, no entanto, que recionada ao tratamento auto-
os primeiros fenômenos mais mático ou automatizado das
claros e específicos de preocu- informações de caráter pessoal².
pação e regulamentação dos
dados pessoais foram produzi- Com o desenvolvimen-

¹Disponível em: https://www.scandinavianlaw.se/pdf/47-18.pdf. Acesso em: 8 fev.


2020.
²Disponível em: https://www.cnpd.pt/bin/legis/internacional/Convencao108.htm.
Acesso em: 8 fev. 2020.

3
to tecnológico cada vez mais acentuado e, sobretudo, com o ab-
surdo crescimento proporcional de dados, a legislação histórica
que mais se aproxima dos atuais modelos de regulamentação é a
Diretiva 95/46/CE, que data de 1995³. Como imaginado, essa re-
gulamentação abraçava todos os países que compunham o blo-
co europeu e determinava, de forma coletiva, além das formas de
coleta e tratamento, normas gerais de utilização e aplicação das
tratativas específicas. A Diretiva vigorou até 2018, quando a Ge-
neral Protection Data Regulation (GDPR) passou a ter vigência.
A GDPR é, em nosso sentir, a grande ruptura normativa quan-
do o assunto é proteção de dados, muito em razão da maturidade
democrática da comunidade europeia. Ao analisar o caminho per-
corrido pelo bloco europeu4 para o alcance de uma legislação que
fosse equalizada entre a manutenção de uma economia equilibrada
e, ao mesmo tempo, que pudesse garantir ao titular liberdade e au-
tonomia decisórias sobre seus direitos, percebemos a importância
da cultura no âmbito das discussões relativas à proteção de dados.
No cenário da América Latina, vários países, antes mesmo da
GDPR, já tinham legislações específicas para proteção de dados.
Referencialmente, citamos a Argentina, que conta com a Ley de
Protección de los datos Personales5 desde 2000. O Chile, por sua
vez, apesar de ter uma lei direcionada à proteção, vem discutindo
com fervor a adequação e a reestruturação de seu modelo, tendo

³Disponível em: https://eur-lex.europa.eu/legal-content/PT/TXT/?uri=cele-


x%3A31995L0046.Acesso em: 8 fev. 2020.
4
Disponível em: https://edps.europa.eu/data-protection/data-protection/legislation/
history-general-data-protection-regulation_en. Acesso em: 8 fev. 2020.
5
Disponível em: https://www.oas.org/juridico/PDFs/arg_ley25326.pdf. Acesso em: 8
fev. 2020.

4
a legislação europeia6;7 como a prática acaba gerando dis-
base em todas as leituras reali- torções e atividades imprevisí-
zadas sobre os projetos de lei. veis, muito em decorrência da
O Brasil, por sua vez, in- prematuridade da legislação.
cluiu-se nos países com legis- Para entender um pou-
lação relativa à proteção de da- co mais sobre a legislação é
dos pessoais com a aprovação importante identificarmos al-
da Lei nº 13.709, de 2018, que guns dados pós-aplicação, até
recebeu a alcunha de Lei Geral para que possamos nos preve-
de Proteção de Dados, popu- nir e antecipar ações, tomando
larmente denominada LGPD. como base o primeiro ano de
Como dissemos, apesar aplicação da GDPR na Europa. É
das estruturações, no papel, fundamental que entendamos
que conseguem harmonizar que as consequências serão
plenamente a atividade com- diferentes, considerando que
petitiva de mercado e a prote- a cultura de dados e o nível de
ção dos direitos dos usuários, complexidade das operações,
tanto na esfera pública quanto

6
Disponível em: https://www.derechosdigitales.org/13443/proteccion-de-datos-con-
-dientes/. Acesso em: 8 fev. 2020.
7
Disponível em: http://www.seguridadpublica.gov.cl/media/2019/08/Norma_para_
la_proteccion_de_datos_personales.pdf. Acesso em: 8 fev. 2020.

5
na privada, são completamente diferentes, mas fare-
mos alguns apontamentos com relação ao relatório8.
Em nossa perspectiva, ao realizar uma análise geral, o tempo
de acomodação da legislação no Brasil – e, mais que isso, o tem-
po de disseminação – será mais lento, não só pelos indicadores de
acesso à informação e educação no país, mas, sobretudo, em decor-
rência do processo legislativo distinto, uma vez que a população,
já com uma experiência clara de diretivas relativas à proteção de
dados, dedicou-se a exaustivas discussões com essa finalidade. As-
sim, nossa opinião é no sentido de que a LGPD demorará mais para
alcançar esse patamar de difusão entre os usuários e a população.

No Brasil, enxergamos que o processo de conhecimento da


Autoridade Nacional de Proteção de Dados (ANPD) será letárgico.
Ainda que o Governo Federal tenha empenhado esforços para a
ampla divulgação da autoridade e projetado sua implantação estru-
turada – apesar dos erros técnicos cometidos nessa implantação no
que pertine sua natureza jurídica – temos desafios direcionados ao
acesso à informação do cidadão comum. A experiência das consoli-
dadas agências reguladoras, no diálogo com a população e na efe-

8
O relatório e as informações completas podem ser acessadas no endereço http://
www.ec.europa.eu. Os dados apontados foram aferidos após 12 meses de aplicação
da GDPR.

6
tividade da resolução dos problemas, se bem aproveitada, pode ser
uma vantagem. Ainda assim, acreditamos que os patamares de per-
cepção de existência e eficiência da autoridade crescerão de forma
mais lenta do que os da comunidade europeia, por tudo o que foi dito.

Esse é um dado importan- cultural que deve jogar a média


te e que precisa ser analisado proporcional para outro patamar.
de forma proporcional. Antes A extremada dependên-
disso, devemos considerar que cia da população brasileira na re-
a União Europeia tem uma po- solução de conflitos, pautada na
pulação estimada em 519 mi- cultura do monopólio da jurisdi-
lhões de pessoas, enquanto no ção (Poder Judiciário), a indústria
Brasil esse número é de aproxi- do dano moral e o baixo nível de
madamente 219 milhões. Logo, segurança da informação das
em uma análise singela, pode- empresas de médio e pequeno
ríamos acreditar que as recla- porte são um prato cheio não só
mações, no primeiro ano de vi- para a ANPD, nas autuações, mas,
gência de LGPD, seriam 75.000 de igual forma, para centenas de
aproximadamente. Contudo, milhares de reclamações e para
acreditamos que exista um fator o aumento absurdo de empresas

7
que têm os dados como centro de seus negócios, seja nas esferas co-
merciais, publicitárias ou mesmo de relacionamento com o cliente.
Portanto, acreditamos que, ao final do primeiro ano de vi-
gência de LGPD, o número de reclamações no Brasil, mesmo com um
perfil cultural menor do que o da União Europeia, será maior e gerará
impactos financeiros negativos mais significativos para as empresas.
Dentre as reclamações relativas à proteção de dados,
três atividades dominam o ranking de incidentes, são elas:

Nossa opinião é que o telemarketing e os e-mails promocio-


nais também irão encabeçar o ranking de reports, logo a análise dos
setores mais afetados pela LGPD passa, necessariamente, por isso.
Aqui, algumas considerações opinativas, construídas pela
nossa equipe: (i) Todas as estruturas de marketing serão afetadas,
desde a tradicional venda via telefone até estruturas mais automa-
tizadas de inbound marketing. (ii) Os sistemas de relacionamento
com o cliente e a experiência precisarão passar, obrigatoriamente,
por uma reestruturação, considerando que a gestão dos dados e a
forma de se realizar a divulgação demandarão recursos ainda mais
precisos sob pena de geração de passivo. (iii) Empresas de tecno-
logia e investidores que pensam em equity, atenção: o cálculo do

8
CAC certamente passará por ário, especialmente o setor de
uma análise sensível da base de Condomínios/Portarias Eletrôni-
dados da empresa, uma vez que cas e Segurança, que tem sido
a escala pautada em um banco brutalmente alterado pelas
de dados desqualificado pode- evoluções tecnológicas, terá
rá, além da conversão, carregar mais um desafio considerável
consigo um passivo considerá- de equacionamento de custo e
vel que pode superar, inclusive, precisará se adaptar fortemen-
a própria margem do negócio. te para manter a competividade
(iv) O grande mercado imobili- como fator de convencimento.

Acreditamos que, embora o número de incidentes efeti-


vos seja exponencialmente maior, as empresas brasileiras terão
menos incidentes reportados no primeiro ano por estarem me-
nos preparadas em todas as perspectivas, do nível técnico ao
cultural, incluindo, é claro, as já conhecidas sonegações de res-
ponsabilidade pelo medo das autuações e da projeção nega-
tiva que os vazamentos podem causar à imagem empresarial.
Pela legislação europeia, as empresas têm até 72 horas para
realizar o report para autoridade. Já nossa legislação não especifica
o prazo, mas indica que o vazamento deverá ser comunicado em
“prazo razoável”. Por tendência, acreditamos que a experiência irá
consolidar as 72 horas, considerando que o comunicado deverá ser

9
acompanhado de uma série de requisitos informativos, tais como, por
exemplo, os riscos relacionados ao incidente e as medidas que foram
ou que serão tomadas para reverter ou mitigar os efeitos do prejuízo.

Acreditamos em um processo inverso no Brasil, considerando


que nossa visão é de que a ANPD terá um papel proativo, seguindo a
vocação punitivista dos órgãos de regulação no Brasil. Logo, a ideia
da multa com finalidade arrecadatória, e não educativa, é uma tônica
em todas as esferas do setor público nacional. Acreditamos que essa
prática não será diferente, pelo menos no início, com relação à prote-
ção de dados pessoais. Além disso, desde o início da GDPR, a soma-
tória das multas aplicadas e divulgadas já ultrapassam 20 milhões
de euros. Para o Brasil, temos uma opinião mais pessimista e, em ra-
zão da intenção, acreditamos que as autuações irão alcançar a casa
dos 300 milhões de reais já no primeiro ano de vigência da LGPD9.
Após essa análise, acreditamos que o Brasil terá um gran-

9
Os dados extraídos da nossa produção podem ser consultados em: https://ec.europa.
eu/commission/sites/beta-political/files/infographic-gdpr_in_numbers_1.pdf. Acesso
em: 9 fev. 2020.

10
de desafio na implementação Pelo lado das empresas,
da LGPD, principalmente por na comparação macro, enxer-
conta do distanciamento e da gamos definitivamente que,
consciência macro da impor- além do grande desafio de im-
tância dos dados, e dizemos plementação, a legislação trará,
isso em razão do tratamento em um cenário de recuperação
dado a praticamente todos os da economia, a capacidade de
direitos que tem esse status. se criar um diferencial compe-
titivo e, mais que isso, filtrar o
Pelo lado do usuário, basta
mercado. Logo, a adequação
olhar para a estrutura de aten-
gera um potencial retorno de
dimento ao consumidor, que
risco, uma vez que o passivo
detém uma legislação madu-
escondido e os potenciais ris-
ra, com 29 anos de existência,
cos de imagem de se negociar
para perceber os desafios que
com empresas que não estarão
teremos pela frente. Por óbvio
adequadas certamente deve-
que os desafios são diferentes,
rão passar a incluir os relatórios
não só em escala e estrutura de
administrativos/gerenciais das
atendimento, mas também na
empresas mais sérias e com cre-
percepção de direito e acesso
dibilidade, aumentando o custo
enxergada pela população, prin-
e gerando argumentos favorá-
cipalmente a parcela mais pobre
veis às empresas adequadas.
e menos instruída. Contudo, os
problemas acabarão, pelo me-
nos no início, tendo as mesmas
causas, em nosso ponto de vis-
ta, sendo elas: a debilidade na
estrutura, o volume absurdo de
demandas e o baixo índice de
educação digital dos cidadãos.

11
2. Lei Geral de Proteção de Dados
A ideia desse e-book é trazer informações ricas e que podem ser
completamente aplicáveis para o seu negócio, seja no cenário nego-
cial ou técnico. Com relação à LGPD, separamos dois grandes temas
que entendemos como fundamentais e que podem lhe ajudar a dar os
primeiros passos, as bases legais as hipóteses de exclusão dos dados.

Bases Legais

Apesar de grande parte das pessoas falar em consenti-


mento, essa não é, definitivamente, a única forma de autoriza-
ção para o tratamento de dados pessoais de forma legítima, ou
seja, a autorização e a concordância do usuário não é o único ca-
minho para que você possa manejar dados pessoais e utilizá-los
dentro do seu negócio. Vamos entender um pouco mais sobre as
outras bases legais e os modos pelos quais você pode convalidar
seu banco de dados, adequando-o às novas exigências da LGPD.
A legislação estabelece 10 bases legais, em
seus arts. 5º, 7º e 8º, que podem ser utilizadas para
o alcance da legitimidade para tratar, sendo elas:

O mais tradicional método, que


pode ser coletado por meio de
Consentimento do contrato, termo de uso etc. Essa
Titular
coleta pode ser feita via digital
ou a partir de assinaturas físicas,
não importando o meio. O que
importa é o inequívoco aceite.

12
Para as áreas reguladas (fin-
techs, telecomunicações, saúde,
educação, provedores de inter-
Cumprimento de obrigação net etc.), alguns dados precisam,
legal ou regulatória pelo con-
trolador necessariamente, ser coletados
e armazenados, inclusive por
período estabelecido pela le-
gislação. Logo, aplica-se esse
inciso, dispensando-se, inclusi-
ve, o consentimento para isso.
Os órgãos públicos pode-
Execução de políticas rão tratar dados para mape-
públicas amentos e aplicações e de-
senvolvimento de políticas
públicas de qualquer natureza.
As pesquisas particulares de
Realização de estudos por ór- mercado, contratadas por uma
gãos de pesquisa empresa, por exemplo, a uma
agência de publicidade ou consul-
toria, não se incluem neste tópico.

13
Se você é prestador de serviço e
há um contrato em vigência com
o cliente, a lei autoriza, dentro dos
limites e indicações apresentadas
Execução do contrato de qual
seja parte o titular no contrato, que você realize o tra-
tamento dos dados. Certamente,
aqui, temos a oportunidade de fa-
zer um duplo fator de verificação,
no consentimento e na prestação,
ambos bases legais de tratamento.
Os processos são públicos por
essência. Nesse viés, os dados
Exercício regular de direito em disponibilizados pelos tribu-
processo judicial, nais, incluídos no cadastramen-
administrativo ou arbitral
to dos processos, não precisam
de consentimento para serem
tratados, desde que utilizados
para exercício regular de direito.
Ex. O sistema de cadastro po-
sitivo, antes opt-in, passa a ter
Proteção ao crédito inserção automática e torna-
-se opt-out, possibilitando ao
titular solicitar a exclusão dos
seus dados a qualquer tempo.

14
Aqui, talvez, encontremos maior difi-
culdade de precisão no conceito, uma
vez que a determinação de legítimo in-
teresse é extremamente subjetiva. Con-
tudo, pela experiência europeia, temos
que “somente interesses claramente
definidos e vinculados ao escopo das
atividades praticados pelo controlador
Legítimo interesse poderão servir de base para tratamento
de dados que pretenda encontrar funda-
mento na hipótese discutida ”. O exem-
plo trazido por Pedro Silveira Campos é o
de dados pessoais do executivo expostos
aos acionistas, na perspectiva de gerar
maior transparência e credibilidade ao
trabalho desenvolvido e solidez as esta-
tísticas financeiras de qualquer negócio.
Nestes casos, a possibilidade de ma-
nejar dados sem a possibilidade au-
torizadora de outra base legal, será
exclusiva para profissionais da área
Tutela da saúde e Proteção à
saúde, serviços de saúde ou autoridade
vida
sanitária. Logo, as atividades conexas
e indiretas, não estão inseridas nes-
sa base. Veja que as questões relativas
não só a captação, mas também, a pos-
se das informações de dados médicos
deverão ser analisadas sob essa ótica.

Disponível em: https://www.conjur.com.br/2019-jun-18/pedro-soares-tratamento-da-


10

dos-baseado-legitimo-interesse. Acesso em: 10 fev. 2020.

15
Logo, não temos dúvida que todos os negócios se-
rão afetados por mais de uma das dez bases legais, a ideia
é manejá-las nos seus fluxos para que em todos eles pos-
sam existir validações de tratamento, gerando verificações
que autorizem e propiciem segurança no manejo dos dados.

3. Hipóteses de Tratamento
A LGPD traz consigo termos definidos para cada um dos seus
comandos, principalmente com relação aos procedimentos de
exclusão. A lei considera “eliminação” como “exclusão de dado ou
de conjunto de dados armazenados em banco de dados, indepen-
dentemente do procedimento empregado11”.
É inequívoca a liberdade e a autonomia do titular do direito
de solicitar a exclusão de seus dados a qualquer momento, desde
que, por óbvio, o controlador/tratador não esteja amparado por
obrigação legal. A solicitação pode ser de dados desnecessários,
excessivos ou que estejam em desconformidade com a LGPD,
podendo inclusive afastar ou revogar o consentimento fornecido
outrora.
Ponto extremamente importante é o tempo de eliminação
dos dados coletados pelo controlador, isso porque, no estágio atu-
al, os dados são mantidos eternamente na base, sendo filtrados e
utilizados de acordo com os interesses do controlador. Ao contrário
disso, a LGPD criou, além de marcos temporais, fundamentos fáticos
para que haja eliminação dos dados, estando eles lançados no art. 21:

11
Disponível em: https://baptistaluz.com.br/wp-content/uploads/2019/01/RD-DataPro-
tection-ProvF.pdf. Acesso em: 10 fev. 2020.

16
I – Verificação de que a finalidade foi alcançada ou de
que os dados deixaram de ser necessários ou perti-
nentes ao alcance da finalidade específica almejada;
II – fim do período de tratamento;
III – comunicação do titular, inclusive no exer-
cício de seu direito de revogação do consen-
timento conforme disposto no § 5º do art. 14
desta Lei, resguardado o interesse público; ou
IV – determinação da autoridade nacional,
quando houver violação ao disposto nesta Lei.
Aqui, portanto, é fundamental que exista, independentemen-
te de ser você controlador ou operador, um fluxo estabelecido para
determinar a forma de eliminação dos dados, com gatilhos de segu-
rança e, mais que isso, com mecanismos que certifiquem que o pro-
cesso foi realizado. Um exemplo claro que pode ser utilizado são os
logs que deverão ficar armazenados no sistema, em caso de alguma
investigação, autuação ou demanda individual do titular do dado.

17
4. Opinião
O Brasil passa por uma revolução não só no sentido da cria-
ção de regras claras de utilização de dados, mas, principalmente,
em uma reinserção no mercado global em decorrência da criação
e adequação do seu comércio a normas que estabeleçam as regras
do jogo. Não há como, nem para o presente e muito menos para
o futuro, pensarmos em uma economia que não esteja pautada
em informações, hábitos de consumo, tendências, análises especí-
ficas de cada grupo, ou seja, tudo terá como cerne nossos dados.
A LGPD propriciará, como já dito, um nível de competi-
tividade e argumento de mercado capaz de nivelar as empre-
sas nacionais, em termos mínimos de segurança de tecnologia
e informação, às demais, ao redor do mundo, deixando a real di-
ferenciação na capacidade de entrega de serviços e resultados.
Acreditamos que a vigência não será postergada, muito me-
nos que não “pegará”. Pelo contrário, talvez seja esse um discurso
das empresas despreparadas em termos competitivos para enfren-
tar questões relativas à cultura e uma severa mudança na forma de
se relacionar com o cliente. Mais que isso: acreditamos que várias
empresas terão problemas relacionados à imagem. Porquanto a
tendência de educação do titular certamente começará a se tornar
sólida e seletiva. Para ele, os ganhos são incomensuráveis, uma vez
que a autonomia e a capacidade de decidir sobre a gestão dos seus
dados lhe trarão maior poder de barganha e ganhos na sua esfera de
intimidade e “sossego”, substantivo redefinido pela força do digital.
Por tudo que foi dito, enxergamos que será natural al-
gumas dificuldades na implementação da LGPD, assim como
dúvidas e desafios, principalmente, nas empresas de cultura
mais arraigada, mas não há outro caminho senão a adequação.

18
Heitor Amaral Ribeiro é Sócio da Amaral Advogados e Pro-
fessor Universitário. Há anos ajuda empresas de base tecnológica,
brasileiras e estrangeiras, a estruturar e dar solidez jurídicas aos
seus serviços. Já representou clientes em litígios relacionados à tec-
nologia, judiciais e extrajudiciais, nas indústrias financeira, mídia e
entreterimento, agronegócio, varejo, atacado, tecnologia, saúde e
imobiliário.

+55 (34) 3223-8465


+55 (34) 99931-8373

Larissa Campos é Advogada da Amaral Advogados e mes-


tranda em Propriedade Intelectual e Transferência de Tecnologia e
Inovação na Universidade Estadual de Minas Gerais. Com atuação
direcionada ao Direito Digital, Propriedade Intelectual e Startups,
faz parte do núcleo estratégico de desenvolvimento e implementa-
ção da LGPD no escritório.

+55 (34) 3223-8465


+55 (34) 99819-8890

Amaral Advogados
O direito a favor da inovação e da tecnologia.

http://amaraladv.com/

19

Você também pode gostar