Como a Nova Lei Geral de Proteção de Dados afetará as mídias digitais?

Todas as empresas precisam de uma política corporativa de privacidade/proteção de dados?

A nova Lei 13.709, recém promulgada em 14.8.2018, que dispõe sobre a Proteção de Dados Pessoais, em que pese ter sua vigência prevista somente para daqui a 18 meses, fevereiro de 2020, contém aspectos relevantes a serem examinados e, entre outros, afetará de modo preponderante as mídias digitais.

Inspirada no recente modelo europeu, Regulamento Geral sobre Proteção de Dados (GDPR), tem abrangência ampla na proteção dos dados pessoais, da liberdade e privacidade, especialmente nos meios digitais, como deixa claro em seu artigo 1º.

A Lei Geral de Proteção de Dados Pessoais (LGPD) determina como as empresas negociam, gerenciam, administram e protegem os dados que estejam sob seus cuidados. Os impactos da LGPD afetam de modo diverso os diferentes tipos de agentes de tratamento – controlador (agente a quem compete as decisões sobre o tratamento de dados pessoais) e o operador (aquele que realiza o tratamento de dados pessoais em nome do controlador).

Um exemplo dessa diferença seria a disposição que distribui ao controlador o ônus da prova acerca da conformidade da obtenção do consentimento, em tratamentos que este critério for a base legal (art.8º, §2º, da LGPD), por outro lado, o operador deverá seguir as instruções de tratamento de dados do controlador, respondendo caso assim não proceder (art.42, §1º, inciso I).Dessa forma, mostra-se necessário averiguar em qual figura a empresa se enquadra para analisar os riscos e impactos legais de sua atividade.

Os impactos da norma tanto ao setor das mídias digitais e comunicação social, quanto aos demais, são de três magnitudes: (i) inviabilizadores dos modelos de negócios atuais; (ii) criadores de novos modelos de negócios; e (iii) de ajustes dos modelos de negócios existentes.

Quanto ao primeiro ponto impactante, pela LGPD, tornam-se inviabilizados modelos de negócios em que os dados são tratados sem autorização ou em que o tratamento não é fundado em um legítimo interesse, igualmente, tornam-se inviáveis os tratamentos de dados em que não são realizadas guarda de registros, visto que o a satisfação da Accountability é uma das exigências da lei.

Em relação ao legítimo interesse, ainda há muitas dúvidas de como este conceito será aplicado/interpretado, mas a legislação nacional já trouxe alguns direcionamentos a respeito, assim como o GDPR. A LGPD traz duas situações exemplificativas que podem ser entendidas como legítimo interesse: (i) apoio e promoção de atividades do controlador; e (ii) proteção do exercício regular de direito do titular ou prestação de serviço que o beneficie.

O GDPR por sua vez, em seu considerando 471 cria alguns parâmetros para a operacionalização/aplicação do legítimo interesse, destacando ser necessário respeitar: (i) direitos e liberdades do titular (critério importado pela LGPD); (ii) expectativas razoáveis dos titulares baseada nas relações destes com o controlador (tratamento razoavelmente previsível pelo titular no momento da coleta). Ao final, o considerando apresenta algumas situações de legítimo interesse como prevenção e controle de fraude, bem como o marketing direto.

Assim, pela experiência europeia para se configurar legítimo interesse seria recomendável: (i) haver uma relação preexistente entre o titular e o controlador de dados; (ii) não afetar direitos e liberdades individuais; (iii) se enquadrar dentro das expectativas razoáveis do titular (pontos que possam nortear esta análise são: há quanto tempo o dado foi coletado, qual a sua fonte, se houve ou não alteração na tecnologia de tratamento de dados2).

Caso a situação de tratamento não se encaixe no legítimo interesse, ora delineado, é aconselhável a solicitação do consentimento, este deve exigir um comportamento ativo do titular, deve ser claro e prévio ao tratamento de dados, além disso, os registros deste consentimento devem ser arquivados para que possa haver prestação de contas a respeito, se necessário for.

Como já destacado, a LGPD igualmente trará a oportunidade a novos modelos de negócios, haja vista que diante a exigência de garantia ao titular de dados do direito de acesso e controle sobre os seus dados pessoais, surge o consumidor empoderado, protagonista, aliado das empresas, pois capaz de auxiliá-las na assertividade tanto do marketing, quanto da prestação de serviços, o que permite a criação de modelos de negócios baseados em dados Compliance, íntegros, com maior valor de mercado e, consequentemente, com poder de acirrar a concorrência entre as empresas.

O último tipo de impacto da norma se refere, como já destacado, aos ajustes que esta exige aos modelos de negócios vigentes. Diante do texto da norma surgem diversos questionamentos que ultrapassam a questão do legítimo interesse e consentimento, como: todas as empresas precisam de uma política corporativa de privacidade/proteção de dados? O enriquecimento de dados ainda será viável? Quando a empresa será obrigada a rever decisões automatizadas? Como deve proceder a empresa que descobre dados sensíveis pelo tratamento de dados objetivos? Quando a anonimização se mostra necessária? Na ausência de uma autoridade garantia, quem fiscalizará a aplicação da LGPD?

Obviamente, não temos a intenção em esgotar os questionamentos acerca da norma, pois, muito somente poderá ser respondido com a maturação e regulamentação desta, mas sim de demonstrarmos possíveis respostas a questionamentos iminentes frente o cenário atual da legislação nacional.

Nesta linha, entendemos que a LGPD exige uma mudança cultural por parte das empresas, na qual todos devam estar envolvidos, pois a aplicação da norma exige o comprometimento de todos que de alguma forma realizam o tratamento de dados, funcionários, parceiros, clientes. Neste sentido, a elaboração e aplicação de Política Corporativa em consonância com a LGPD seria o primeiro passo para tornar a empresa Compliance com esta norma e confiável aos titulares de dados.

No tocante ao enriquecimento de dados e modelagem comportamental, entendemos não haver qualquer óbice na legislação nesse sentido, todavia, tais tratamentos devem estar relacionados com a finalidade informada ao titular no momento da coleta, ou seja, deve haver sempre transparência no tratamento de dados pessoais, e se este tratamento não puder ser enquadrado como legítimo interesse ou houver dúvidas sobre isso, é aconselhável que além da transparência quanto à finalidade, a empresa registre o consentimento do titular para realizar o tratamento.

Em relação às decisões automatizadas, as empresas devem conceder aos titulares o direito de revisão deste tipo de decisão (art.20, caput e §1º), bem como informações claras e adequadas sobre os critérios e procedimentos, resguardados sempre os segredos comerciais e industriais. É imprescindível que o tratamento de dados não seja realizado de modo ilicitamente discriminatório ou abusivo (art.6º), sendo assim, esta também deve ser uma preocupação da empresa no tocante às decisões automatizadas.

Por vezes, diante da inferência realizada sobre dados objetivos, uma empresa pode alcançar dados sensíveis sem ter esta real intenção, neste caso, aconselha que, se não houver, consentimento específico e destacado para tanto, que seja este dado descartado, excluído. Apenas lembrando, a lei classifica como dados sensíveis, todo: “dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”.

Além do consentimento e legítimo interesse, a lei traz outra base legal para utilização dos dados: a sua anonimização, de modo que os dados podem ser armazenados e a estes não se aplicarão a LGPD desde que desvinculados de uma identidade. Esta base legal está atrelada ao princípio da necessidade (art.6º, inciso III, da LGPD), segundo o qual o tratamento deve se ater ao mínimo necessário para a realização da finalidade divulgada ao seu titular, de forma que, observadas esta limitação, os dados poderão ser utilizados no que excedê-la, basta estarem anonimizados.

Com relação à fiscalização da aplicação desta norma, neste momento, restou prejudicada, vez que os artigos referentes à criação da Autoridade Nacional, órgão a quem a Lei confere a competência para fiscalização e aplicação de sanções, foram todos vetados (arts.55 a 59), sob a justificativa de serem inconstitucionais, pois seriam disposições de iniciativa privativa do Presidente da República. A nosso ver, como a Lei é taxativa ao dizer que caberá à Autoridade Nacional a aplicação das sanções previstas, estas não poderão ser impostas por outras autoridades. De todo modo, por outros diplomas, como, por exemplo, o Código de Defesa do Consumidor, já é possível que outras autoridades imponham sanções às empresas por danos decorrentes de tratamento de dados pessoais.

Sendo assim, já se faz necessário estar Compliance com esta legislação e muitas medidas mitigadoras podem ser tomadas para auxiliar nesta mudança de postura, como: estabelecer um ambiente seguro, respeitar a autodeterminação do titular de dados, pautar o tratamento na transparência e informação, guardar registros, utilizar-se de dados públicos, escolher com criticidade os parceiros comerciais, exigindo deles mesmo nível de proteção de dados pessoais, entre muitas outras.

———————————

1 “Os interesses legítimos dos responsáveis pelo tratamento, incluindo os dos responsáveis a quem os dados pessoais possam ser comunicados, ou de terceiros, podem constituir um fundamento jurídico para o tratamento, desde que não prevaleçam os interesses ou os direitos e liberdades fundamentais do titular, tomando em conta as expectativas razoáveis dos titulares dos dados baseadas na relação com o responsável. Poderá haver um interesse legítimo, por exemplo, quando existir uma relação relevante e apropriada entre o titular dos dados e o responsável pelo tratamento, em situações como aquela em que o titular dos dados é cliente ou está ao serviço do responsável pelo tratamento. De qualquer modo, a existência de um interesse legítimo requer uma avaliação cuidada, nomeadamente da questão de saber se o titular dos dados pode razoavelmente prever, no momento e no contexto em que os dados pessoais são recolhidos, que esses poderão vir a ser tratados com essa finalidade. Os interesses e os direitos fundamentais do titular dos dados podem, em particular, sobrepor-se ao interesse do responsável pelo tratamento, quando que os dados pessoais sejam tratados em circunstâncias em que os seus titulares já não esperam um tratamento adicional. Dado que incumbe ao legislador prever por lei o fundamento jurídico para autorizar as autoridades a procederem ao tratamento de dados pessoais, esse fundamento jurídico não deverá ser aplicável aos tratamentos efetuados pelas autoridades públicas na prossecução das suas atribuições. O tratamento de dados pessoais estritamente necessário aos objetivos de prevenção e controlo da fraude constitui igualmente um interesse legítimo do responsável pelo seu tratamento. Poderá considerar-se de interesse legítimo o tratamento de dados pessoais efetuado para efeitos de comercialização direta”.

 

Por Luiz Ignácio Homem de Mello, Vitor Morais de Andrade, Lygia Maria M. Molina Henrique

Fonte: https://www.jota.info/opiniao-e-analise/artigos/como-a-nova-lei-geral-de-protecao-de-dados-afetara-as-midias-digitais-16092018

Comentários

Comentários