A Lei Geral de Proteção de Dados (lei 13.853/19) foi sancionada em 9 de julho pelo presidente da república e entrará em vigor em janeiro de 2021, exigindo que o setor de mídia digital se adeque às novas regras que buscam garantir maior controle para os titulares com relação aos seus dados pessoais e maior segurança jurídica para empresas que realizam o tratamento desses dados.

– Especialista em Direito Digital fala sobre os impactos da LGPD no mercado de marketing
– Como a LGPD vai impactar a Mídia Programática

Também conhecida como LGPD, a nova lei cria a Autoridade Nacional de Proteção de Dados (ANPD), órgão responsável por editar normas e fiscalizar procedimentos sobre proteção de dados pessoais. Depois de passar por diversos debates legislativos, a versão final da Lei Geral de Proteção de Dados sofreu 14 vetos em relação ao texto original (lei 13.709/18).

Neste artigo, a Predicta destaca as principais mudanças da lei e traz a visão de renomados especialistas Maria Cecília Oliveira Gomes, advogada especialista em Proteção e Privacidade de Dados, e Caio César de Oliveira, advogado e pesquisador em Direito e Tecnologia, sobre a versão final da LGPD e seus impactos para o setor de mídia digital.

Criação da Autoridade Nacional de Proteção de Dados Pessoais (ANPD)

O Brasil terá uma Autoridade Nacional de Proteção de Dados Pessoais (ANPD), órgão responsável por implementar, fiscalizar e orientar o cumprimento da LGPD. A criação da ANDP foi vetada na publicação da LGPD no ano passado, recriada pela Medida Provisória 869/18 e alterada pela lei 13.709/18.

No primeiro momento, a ANPD será um órgão da administração pública federal, integrante da Presidência da República. Entretanto, tal natureza poderá ser transitória e ser transformada em uma entidade da administração pública indireta, submetida a regime autárquico no prazo de dois anos.

Quando pensamos em efeitos da criação da Autoridade, devemos levar em consideração efeitos políticos, sociais e econômicos, tanto numa esfera nacional, quanto no cenário internacional.

De acordo com Maria Cecília Oliveira Gomes, professora e advogada especialista em Privacidade e Proteção de dados, um dos efeitos imediatos é o crescimento de uma maior segurança jurídica para todos os setores – privado, público, terceiro setor e academia –, bem como o desenvolvimento de orientações sobre como e quando esses setores devem cumprir com obrigações relativas ao tratamento de dados pessoais, a fim de tornar as regras de aplicação da LGPD mais claras para todos.

Já para os titulares de dados, a autoridade traz uma maior segurança jurídica por promover dentro das suas competências uma maior orientação e fiscalização em relação aos direitos dos titulares previstos na LGPD. “Vale ressaltar que uma das competências da ANPD é receber e analisar denúncias feitas pelos titulares de dados em relação a violações dos seus direitos”.

A médio e longo prazo, é aguardado pelos diversos setores e pela sociedade civil um grau de autonomia e independência da ANPD o que, segundo Maria Cecília, definirá maior protagonismo da autoridade brasileira no cenário internacional, na construção de diálogos e uma postura cooperativa com autoridades de outros países, com foco especial para a América Latina e Europa.

“A expectativa é que a ANDP possa buscar sua efetiva independência para que, com isso, o Brasil consiga se tornar um membro efetivo da Convenção 108+ do Conselho da Europa e seja considerado um país com nível adequado de proteção de dados pela União Europeia, segundo a GDPR (General Data Protection Regulation)”, examina Maria Cecília ao acrescentar que isso facilitaria o livre fluxo de dados entre o Brasil e UE, proporcionando benefícios diversos.

Ela observa, contudo, que para que isso ocorra, “é essencial que a ANPD possua independência técnica, decisória e financeira, e em seu formato atual, vinculada à Casa Civil, essa real independência não é concreta”. Por fim, a especialista analisa que um dos seus efeitos a médio e longo prazo mais esperados da autoridade seja a construção de uma cultura de proteção de dados no Brasil, que proporcione um ecossistema saudável a proteção e para o desenvolvimento dos direitos relativos a essa matéria.

A redação final da LGPD estabelece a estrutura institucional com a Autoridade Nacional de Proteção de Dados, incluindo suas prerrogativas e poderes de fiscalização, e o Conselho Nacional de Proteção de Dados e da Privacidade. O Conselho terá formação multissetorial e será composto por 23 membros de diversos setores, incluindo representantes de instituições tecnológicas e entidades empresariais da área de tratamento de dados pessoais, sem poderes de voto nas tomadas das decisões, mas que poderão propor direcionamentos estratégicos e contribuir para a elaboração da Política Nacional de Proteção de Dados Pessoais e da Privacidade.

Obrigação de nomear um encarregado (DPO) para controladoras e operadoras

A versão final do artigo 5°, VII, em oposição à redação inicial, determina que o encarregado deve ser indicado não apenas pelas empresas controladoras (aquelas que decidem sobre o tratamento de dados pessoais), mas também pelas operadoras de dados (aquelas que realizam o tratamento de dados em nome do controlador).

O Encarregado de Proteção de Dados ou Data Protection Officer (DPO) desempenha um papel essencial nas decisões estratégicas das organizações no que diz respeito às atividades de tratamento de dados, além de atuar como canal de comunicação entre controladoras e operadoras, ANDP e titulares de dados.

A redação final da LGPD, no entanto, traz o fim da exigência de que o encarregado (DPO) tenha conhecimento jurídico-regulatório em proteção de dados, sob argumento de que tal proposta contraria o interesse público, pois se constitui em uma exigência com rigor excessivo, bem como ofende o direito fundamental, por restringir o livre exercício profissional a ponto de atingir seu núcleo essencial.

O texto original também não determinava essa necessidade que, de forma geral, era uma alteração aguardada pelo mercado e pelas entidades do setor. Tal requisito deixa de ser obrigatório, apesar de ser recomendável, analisa Caio César de Oliveira, advogado e pesquisador em Direito e Tecnologia.

“A exigência de um profissional como encarregado (DPO) segue o modelo europeu e tem por objetivo garantir que as empresas implementem a cultura de proteção de dados pessoais em suas empresas, assim como, tal profissional tem a importante tarefa de ser um elo entre a empresa, os titulares de dados pessoais e a Autoridade Nacional de Proteção de Dados”, pontua o especialista. Dessa forma, ele avalia que a existência de um DPO nas empresas é uma medida benéfica para a implementação da Lei e de boas práticas de Governança em Proteção de Dados.

Revisão das decisões automatizadas não será feita obrigatoriamente por pessoa natural

Os vetos do presidente também modificam as regras para a revisão de decisões automatizadas (que abrangem desde a exclusão de um conteúdo do Facebook à concessão de crédito). A exigência da revisão ser realizada por agente humano foi excluída pela Medida Provisória 869/2018, mas reintroduzida no texto final da lei 13.853/19 encaminhado para sanção presidencial.

A LGPD previa inicialmente que qualquer titular de dados poderia solicitar revisões das decisões tomadas de forma automatizada, além de determinar que tal procedimento só poderia ser realizado por pessoa natural. O veto exclui essa obrigação, que, na prática, permite que um pedido de revisão seja processado por um sistema automatizado, em vez de humanos, sob argumento de que a medida contraria o interesse público, uma vez que inviabilizaria os modelos de negócios de muitas empresas, como startups. Justificou, ainda, que impactaria na análise de risco de crédito e de novos modelos de negócios de instituições financeiras, causando efeito negativo na oferta de crédito aos consumidores, com reflexos nos índices de inflação e na condução da política monetária.

Este é um dos pontos mais criticados da nova versão da LGPD. Especialistas analisam que a decisão prejudica o titular de dados e consideram o uso de algoritmos em procedimentos decisórios pouco transparente e sujeito a processos discriminatórios. O titular fica então impossibilitado de auditar os sistemas que revisam outros sistemas, já que não tem o direito de solicitar a revisão da decisão por uma pessoa.

Manutenção das sanções previstas para o caso de descumprimento da legislação

Mesmo com as investidas do Legislativo de contornar os vetos do então presidente Michel Temer, ficam mantidas na LGPD as sanções administrativas já conhecidas na lei, quais sejam: (a) advertência, com indicação de prazo para adoção de medidas corretivas; (b) multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração; (c) multa diária, observado o limite total acima; (d) publicação da infração; (d) bloqueio dos dados pessoais a que se refere a infração até a sua regularização; e (e) eliminação dos dados pessoais a que se refere a infração;

Em relação às sanções, a nova lei apresenta algumas novidades que valem destaque: o produto da arrecadação das multas aplicadas pela ANPD será destinado ao Fundo de Defesa de Direitos Difusos; os vazamentos individuais ou os acessos não autorizados a dados pessoais poderão ser objeto de conciliação direta entre controlador e titular e, caso não haja acordo, o controlador estará sujeito à aplicação das penalidades da LGPD.

Para os especialistas, as punições previstas pela lei são rigorosas e podem abalar não apenas a reputação das empresas, como resultar na suspensão das atividades da mesma. Não é à toa que o mercado como um todo, incluindo a indústria digital, deve se preocupar com a adequação. 

Desafios da nova lei

A especialista e professora Maria Cecilia Oliveira Gomes chama a atenção para as competências da autoridade brasileira, cujos pilares são Orientação (policy); Fiscalização (enforcement); e Supervisão e Monitoramento. E isso precisa estar bastante claro para as empresas, para a sociedade e para a própria autoridade.

“Somadas as competências da autoridade brasileira, o resultado é a construção de uma cultura de proteção de dados. Os esforços dela precisam ser direcionados para essa construção, não adianta destinar grande parte dos seus recursos financeiros e humanos para fazer fiscalização e aplicar multas, sem antes ensinar setores e titulares, a como cumprir a lei”, destaca. Ao mesmo tempo, ela evidencia o enorme desafio do órgão de ser uma autoridade em um país de 200 milhões de pessoas. “Espera-se que a ANDP possa contar com recursos econômicos e humanos, ou seja, ‘braços’ suficientes, para conseguir atender a toda essa demanda”.

Tendo isso em vista, os dois primeiros anos da autoridade provavelmente serão bastante burocráticos, incluindo montar uma equipe e definir estratégias de atuação, plano de trabalho e orçamento, dentre outras atividades. Mesmo assim, Maria Cecília defende que os principais esforços da ANDP pelos próximos anos devem ser focados na construção de orientações sobre o tema de proteção de dados, seja esclarecendo os pontos omissos ou obscuros da LGPD, seja orientando sobre como devem ser cumpridas certas obrigações previstas na lei, seja orientando os titulares sobre como eles devem buscar os seus direitos.

Já o advogado Caio César de Oliveira lembra que a LGPD veda a utilização do consentimento de forma genérica. Dessa forma, o tratamento de dados deve se ater a uma finalidade. “Não raro, empresas coletam dados sem uma finalidade específica, o que pode ser encarado como uma limitação da lei”. 

A lei apresenta o princípio da mínima coleta de dados pessoais, ou seja, devem ser coletados os dados mínimos e destinamos à finalidade específica e, para que esse tratamento seja realizado, a empresa deve obter uma das 10 bases legais previstas em lei, quais sejam: (a) consentimento; (b) cumprimento de um dever legal; (c) execução de Políticas Públicas; (d) Estudos por órgão de pesquisa; (e) execução de contrato; (f) exercício regular de direitos; (g) proteção da vida; (h) tutela da saúde; (i) interesse legítimo e (j) proteção ao crédito. Para o mercado de mídia digital, não raro, o tratamento de dados é baseado no Legítimo Interesse, mas vale lembrar que a aplicação dessa base legal depende de um teste de proporcionalidade.

Em princípio, esse teste é realizado em quatro etapas: legitimidade do interesse (em que se verifica se a finalidade é legitima e se há uma situação concreta; necessidade (em que deve ser realizada análise a respeito da necessidade do tratamento dos dados em conformidade com o princípio da mínima coleta de dados pessoais e é possível verificar se não há outra base legal para o tratamento dos dados; balanceamento (no qual é possível constatar se há compatibilidade entre a finalidade e o tratamento de dados pessoais realizado com direitos dos titulares de dados pessoais; e salvaguardas, fase final do teste de proporcionalidade em que são pensados mecanismos para transparência, oposição (opt-out) e mitigação de eventuais riscos (como a anonimização).

De modo geral, Oliveira considera que o balanço final do texto da LGPD para o mercado digital é positivo. “Antes da Lei tínhamos no Brasil uma pluralidade de normas que abordavam o tema de forma tangencial – uma verdadeira colcha de retalhos -, agora com a LGPD o mercado ganha segurança e confiança, pois a lei apresenta diretrizes sólidas para o tratamento de dados pessoais”, comenta.

Em especial, ele destaca a previsão dos princípios que norteiam a legislação, as bases legais para o tratamento de dados pessoais, os direitos dos titulares de dados pessoais que devem ser observados, a criação da uma Autoridade Nacional de Proteção de Dados e a indicação das possíveis sanções para o caso de descumprimento da Lei. “Em um mundo hiperconectado e com uma economia movida por meio do tratamento de dados pessoais (data-driven economy) o sistema desenvolvido pela LGPD preza pela segurança, controle e confiança no tratamento de dados pessoais”, conclui o advogado.