O início da vigência da LGPD e suas ‘meias verdades’

Com o início da vigência da Lei Geral de Proteção de Dados Pessoais em 18/09/2020, a discussão sobre a privacidade e a proteção tornou-se ainda mais acalorada, tendo em vista a necessidade de empresas dos mais diversos ramos e portes se adequarem às exigências oriundas dareferida lei.

Muitos pontos que anteriormente eram incógnitas para os operadores do Direito, empresas e para a sociedade em geral passaram a ser amplamente discutidos. Dentro desse contexto, algumas “meias verdades” – ou até mesmo mitos – passaram a ser consideradas como válidas por parte daqueles atores sociais, em decorrência de a própria discussão sobre a privacidade e a proteção de dados ser algo relativamente novo para muitas pessoas e por ser um tema de alta complexidade. 

Neste artigo, buscaremos discutir algumas dessas “meias verdades” que possuam relevância direta com o setor do comércio eletrônico para que não existam interpretações equivocadas sobre referidos tópicos.

1.“A LGPD não começou a valer”.

Essa afirmação não pode ser chamada nem de “meia verdade”, já que se trata de uma informação equivocada. 

Em suma síntese, a Medida Provisória número 959, em seu artigo 4º, buscava alterar o início da vigência da Lei Geral de Proteção de Dados Pessoais para 3 de maio de 2021. Entretanto, no procedimento legislativo de conversão dessa Medida Provisória em Lei, referido artigo acabou não integrando a Lei nº 14.058/2020, razão pela qual a LGPD entrou em vigor no dia 18 de setembro de 2020. Isso ocorreu porque o presidente do Senado Federal (Senador Davi Alcolumbre-AP) considerou prejudicado o art. 4º da MP 959 e o retirou da discussão, por entender que a matéria já havia sido analisada em sessões passadas e, dessa forma, determinou a vigência imediata da Lei 13.709/2018, a Lei Geral de Proteção de Dados Pessoais – LGPD.

Dentro desse contexto, o  Senado Federal publicou uma nota  em seu site oficial, na qual explicou que as disposições da Lei 13.709/2018 – salvo as questões da ANPD e das sanções administrativas, conforme será demonstrado a diante – somente passariam a valer depois de transcorrido o prazo para manifestação do Presidente da República, de 15 dias, o que resultou no início da vigência em 18 de setembro de 2020.

O ponto que pode gerar certa confusão a algumas pessoas foi que a Lei nº 14.010/20 postergou a vigência dos artigos referentes às sanções administrativas aplicadas em competência exclusiva da Autoridade Nacional de Proteção de Dados (artigo 55-K), e sua regulamentação foi estabelecida apenas pelo Decreto nº 10.474/20, que determinou o dia 1º de agosto de 2021 para o início das tão comentadas sanções administrativas previstas nos artigos 52, 53 e 54 da Lei Geral de Proteção de Dados Pessoais.

Dessa forma, com a entrada em vigor da Lei Geral de Proteção de Dados Pessoais, mesmo com  o início das sanções administrativas previsto para 1º de agosto de 2021, já é possível, em nosso ordenamento jurídico, a propositura de ações judiciais, individuais ou coletivas pleiteando reparação de danos decorrentes de violações em relação às disposições da Lei Geral de Proteção de Dados Pessoais, principalmente no âmbito do Direito do Consumidor. Inclusive, esse fato pode gerar o efeito colateral de uma excessiva judicialização de temas referentes à Lei Geral de Proteção de Dados Pessoais.

Sobre esse ponto, podemos exemplificar com o caso do Ministério Público do Distrito Federal e Territórios, que conseguiu antecipação de tutela para suspender venda de dados pessoais de consumidores pela Serasa Experian. A decisão do Tribunal de Justiça do Distrito Federal e dos Territórios foi proferida no dia 20 de novembro de 2020, e derivou de ação civil pública ajuizada pela Unidade Especial de Proteção de Dados e Inteligência Artificial (Espec). Referida ação teve como fundamento as novas disposições e exigências da Lei Geral de Proteção de Dados Pessoais

2. “O titular tem como um de seus direitos a portabilidade de seus dados pessoais”

Essa afirmação é verdadeira, entretanto, como qualquer direito tem suas limitações, há uma restrição ao exercício desse direito. 

Como a pessoa natural é e sempre será titular de seus dados pessoais, poderá, a partir da previsão da Lei Geral de Proteção de Dados Pessoais, exercer a portabilidade de seus dados pessoais de um fornecedor de produtos ou serviços para outro, como já acontece, por exemplo, na portabilidade de números telefônicos. A previsão está no artigo 18 da Lei Geral de Proteção de Dados, em seu inciso V, conforme demonstrado abaixo:

“Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:

(…)

V – portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;”. 

Entretanto, para a correta aplicação da previsão do artigo 18, não se pode confundir os dados pessoais e o produto do tratamento deles. Imaginemos que determinado site de vendas, com base na navegação do usuário logado, cria um perfil de consumo por meio do qual oferece produtos de acordo com os interesses do cliente, utilizando-se, para isso, de estudo de mercado, softwares e outras técnicas. Se o titular solicitar a portabilidade, o site não é obrigado a reunir os dados e informações oriundos do tratamento, mas tão somente os dados pessoais coletados. Isso para que não haja a violação de segredo comercial e o beneficiamento injusto do site receptor dos dados. Se assim não fosse, teríamos um desequilíbrio empresarial, no qual uma empresa se beneficiaria injustamente do trabalho e das técnicas desenvolvidas por outra empresa de comércio eletrônico.

Para a correta elucidação, a requisição de portabilidade precisa ser expressa, não escrita, ou seja, poderá ser feita por qualquer meio que transmita de forma precisa a vontade do titular. Inclusive, conforme o artigo 40 da Lei Geral de Proteção de Dados Pessoais, “A autoridade nacional poderá dispor sobre padrões de interoperabilidade para fins de portabilidade, livre acesso aos dados e segurança, assim como sobre o tempo de guarda dos registros, tendo em vista especialmente a necessidade e a transparência”.

“A LGPD não exige a contratação de um DPO”.

Entre as atividades do Encarregado, conforme a redação do artigo 41, foram estabelecidas: a) aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; b) receber comunicações da autoridade nacional e adotar providências; c) orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; d) executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Entretanto, a questão que pode gerar uma certa confusão por parte das empresas é que, ao mesmo tempo que o artigo 41 afirma expressamente que “o controlador deverá indicar encarregado pelo tratamento de dados pessoais”, o § 3º prevê que a autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado,inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.

A intenção do legislador, ao redigir o parágrafo 3º do artigo 41, foi valorizar o princípio da razoabilidade, um dos princípios norteadores da aplicação e formulação das normas que compõem o nosso ordenamento jurídico. Porém, a utilização do verbo “deverá” deixa claro que é uma obrigação a indicação do Encarregado de Tratamento de Dados, até que a Autoridade Nacional de Proteção de Dados estabeleça normas que possam isentar determinadas empresas de procederem à indicação do encarregado. Todavia, é importante ressaltar que a utilização do verbo “poderá”, no parágrafo 3º do artigo 41, também não garante qualquer obrigatoriedade por parte da Autoridade Nacional de Proteção de Dados em relação a essa futura regulamentação.

“Incidentes de segurança de dados pessoais: só há a ocorrência quando há vazamento de dados pessoais”.

“Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:

(…)

VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;”.

A própria Lei Geral de Proteção de Dados Pessoais abrange o conceito não só para acessos não autorizados, mas também em relação a situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão, ou seja, faz referência clara aos três princípios da segurança da informação e ressalta que a violação de qualquer um deles ocasionará um incidente de segurança.

Basicamente, são três os princípios da segurança da informação: