FERNANDO COSTA DA SILVA[1]
(orientador)
RESUMO: A Lei Geral de Proteção de Dados (LGPD) - Lei n° 13.709, publica em 14 de agosto de 2018, já está em vigência no ordenamento jurídico brasileiro, positivou o tratamento de dados pessoais das pessoas naturais, por pessoas naturais, pessoas jurídicas de direito público e direito privado, incluindo por advogados e escritórios de advocacia, de forma a proteger direitos fundamentais da pessoa natural. Com isso, esse estudo tem como objetivo geral, analisar se a LGPD de fato torna tanto no âmbito físico, quanto na internet (âmbito digital), um ambiente seguro aos titulares dos dados, no tocante ao seu tratamento e como a nova lei afeta a atividades dos advogados. Para tanto, utilizou-se pesquisa documental e na legislação sobre o tema. Nos resultados, ficou constatado que a LGPD, veio com suas normas, fundamentos e princípios para dar maior segurança aos titulares de dados pessoais, tanto no âmbito físico, quanto no digital, e de fato afetou a atividade dos advogados, uma vez, que ela regulamentou a forma de coleta de dados, seu processamento, o término, bem como, a eliminação desses dados, estes, que serão entregues aos advogados, muitos em segredo de justiça e com finalidade específica, na qual a finalidade do seu tratamento deverá estar de expresso em cláusulas no contrato de honorários advocatícios.
Palavras-chave: Lei; Proteção; Dados; Advogados.
ABSTRACT: The General Data Protection Law (LGPD) - Law n° 13.709, published on August 14, 2018, is already in force in the Brazilian legal system, positive the processing of personal data of natural persons, by natural persons, legal entities of public law and private law, including by lawyers and law firms, in order to protect the fundamental rights of the natural person. Thus, this study has as a general objective, to analyze whether the LGPD actually makes both in the physical and on the internet (digital scope), a safe environment for data subjects, with regard to their treatment and how the new law affects the activities of lawyers. In the results, it was found that the LGPD, came with its norms, fundamentals and principles to give greater security to the holders of personal data, both in the physical and digital sphere, and in fact affected the activity of lawyers, since it regulated the form of data collection, its processing, the termination, as well as the deletion of such data, these, which will be delivered to lawyers, many in secrecy of justice and for a specific purpose, in which the purpose of their processing shall be expressed in clauses in the contract of attorneys' fees.
Keyword: Law; Protection; Data; Lawyers.
A proteção de dados pessoais das pessoas naturais, tem sido uma preocupação constante dos titulares dos dados, principalmente no atual cenário envolvendo informações que são disponibilizadas para cadastros em empresas, contratos diversos, e consultas na rede mundial de computadores. Foi nessa ceara que foi publicada e já entrou em vigência a Lei n° 13.709, de 14 de agosto de 2018, denominada de Lei Geral de Proteção de Dados Pessoais (LGPD).
A LGPD através de suas normas, objetivos, princípios e fundamentos impactou todo o cenário brasileiro, referente à nova sistemática de tratamento de dados pessoais, por pessoas naturais, pessoas jurídicas de direito público e direito privado. Diante desta realizada, busca-se através do tema: Lei Geral de Proteção de Dados Pessoais - LGPD: Lei 13.709/2018, verificar a seguinte problemática: Como a nova lei afeta a atividade dos advogados?
A escolha desse tema se deu por entender que é preciso analisar de que forma a LGPD irá assegurar a privacidade do cidadão, na coleta, tratamento, término e eliminação de dados pessoais das pessoas naturais, oferecendo garantias que permitam protegê-lo de problemas no que diz respeito a vazamento de dados e a utilização com vício de consentimento. É necessário que se discuta a referida temática, para entender como os seus fundamentos irão impactar os órgãos públicos, o Poder Judiciário, as organizações, as empresas, e principalmente o dia a dia das atividades dos advogados.
Com isso, esse estudo tem como objetivo geral, analisar se a LGPD de fato torna tanto no âmbito físico, quanto na internet (âmbito digital), um ambiente seguro aos titulares dos dados, no tocante ao seu tratamento e como a nova lei afeta a atividades dos advogados. Nos objetivos específicos, busca-se analisar como a Lei Geral de Proteção de Dados Pessoais (LGPD) vem para proteger os direitos fundamentais de liberdade e de privacidade e a livre formação da personalidade de cada indivíduo; averiguar a adequação das empresas à nova realidade imposta pela LGPD; e compreender o desenvolvimento tecnológico e de inovação de sistemas, através de boas práticas de segurança e governança, para melhor tratativa de dados pessoais, criando um cenário de segurança jurídica em todo o país.
Para tanto, o presente trabalho, utilizou-se da pesquisa em metodologia analítico-dogmática jurídica, dedutiva, exploratória, bibliográfica, documental e qualitativa, bem como, de pesquisa na legislação sobre o tema em comento. A pesquisa dividir-se-á em etapas e poderá ser classificada pelo método indutivo. Primeiramente discorrer-se-á sobre os impactos trazidos pela LGPD no Poder Judiciário, será analisado o seu conceito, sua origem e sua natureza jurídica. Por conseguinte, será analisado a aplicação da LGPD nas empresas, as boas práticas de segurança para todas as organizações e governança de dados, bem como, da base legal de tratamento de dados pessoais no controle de acesso, de forma a verificar como a LGPD afetou o dia a dia dos advogados.
2. IMPACTOS DA LEI GERAL DE PROTEÇÃO DE DADOS NO PODER JUDICIÁRIO
A proteção de dados no ordenamento jurídico brasileiro é regulamentada através da Lei n° 13.709, de 14 de agosto de 2018, denominada de Lei Geral de Proteção de Dados Pessoais (LGPD). Imperioso mencionar que a referida Lei sofreu alterações através da Lei n° 13.853, de julho de 2019, na qual dispôs sobre a proteção de dados pessoais, bem como, sobre a criação da Autoridade Nacional de Proteção de Dados (ANPD) e deu outras providências.
O Art. 1° da Lei Geral de Proteção de Dados trouxe informações referente à abrangência da Lei e o seu objetivo. Para tanto, veja-se:
Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Parágrafo único. As normas gerais contidas nesta Lei são de interesse nacional e devem ser observadas pela União, Estados, Distrito Federal e Municípios.
Diante da legislação infraconstitucional acima mencionada, verifica-se que a LGPD abrange não só o tratamento de dados pessoais das pessoas naturais no âmbito físico, mas também na ceara digital, por pessoa natural, pessoa jurídica de direito público ou privado, incluindo nessa seara os advogados e escritórios de advocacia. Objetiva-se com a regulamentação, proteger os direitos fundamentais de liberdade, privacidade e o livre desenvolvimento garantidos pela Constituição Federal de 1988 (CF/88), ao titular de direitos referente ao processamento de seus dados pessoais.
As normas gerais estabelecidas pela LGPD, com seus objetivos e fundamentos, são de interesse nacional, devendo, pois, no âmbito de direito público e administrativo, ser obedecidas por todos os entes federativos do Brasil, a saber: União, Estados, Distrito Federal e Municípios. De acordo com o Art. 2° da CF/88, a União é organizada administrativamente por 03 poderes, independentes e harmônicos entre si, destarte, veja-se:
Art. 2º São Poderes da União, independentes e harmônicos entre si, o Legislativo, o Executivo e o Judiciário.
A mesma sistemática de organização administrativa é replicada a todos os Estados da República Federativa do Brasil, por exemplo o Estado do Tocantins, conforme dispõe o Art. 4° da sua Constituição Estadual, note-se abaixo:
Art. 4º São Poderes do Estado, independentes e harmônicos entre si, o Legislativo, o Executivo e o Judiciário.
Assim, a abrangência da LGPD alcança todos os poderes que compõe os Estados, tanto o Legislativo, Executivo e o Judiciário. O presente tópico delimitará à aplicação e impactos daquelas normas elencadas pela Lei n° 13.709/2018, junto ao Poder Judiciário. O controle administrativo deste último é realizado pelo Conselho Nacional de Justiça (CNJ), conforme dispõe o § 4° do Art. 103-B da CF/88, bem como, outras atribuições elencadas nos demais incisos daquele parágrafo.
O Código de Processo Civil de 2015 (CPC), também atribuiu ao CNJ a competência de disciplinar a incorporação progressiva de novos avanços tecnológicos, editando, para esse fim, os atos que forem necessários, conforme dispõe em seu Art. 196:
Art. 196. Compete ao Conselho Nacional de Justiça e, supletivamente, aos tribunais, regulamentar a prática e a comunicação oficial de atos processuais por meio eletrônico e velar pela compatibilidade dos sistemas, disciplinando a incorporação progressiva de novos avanços tecnológicos e editando, para esse fim, os atos que forem necessários, respeitadas as normas fundamentais deste Código.
Diante da obrigatoriedade da observância das normas, objetivos e fundamentos da LGPD pelo Poder Judiciário, o CNJ, no ano de 2019, presidido à época pelo Ministro do Supremo Tribunal Federal Dias Toffoli, no uso de suas atribuições legais e regimentais, expediu a Portaria de n° 63, de 26 de abril de 2019, objetivando a criação de um grupo de trabalho destinado à elaboração de estudos e propostas voltadas à política de acesso às bases de dados processuais dos tribunais.
Em decorrência dos trabalhos realizados pelo grupo nomeado através da Portaria n° 63/2019, anteriormente mencionada, através de realização de audiências públicas, consultas públicas, palestras, seminários com representantes de órgãos públicos e de entidades da sociedade civil, além de especialistas e operadores do Direito e em Tecnologia da Informação, o CNJ expediu uma Recomendação de n° 73, de 20 de agosto de 2020, na qual recomendou aos órgãos do Poder Judiciário brasileiro a adoção de medidas preparatórias e ações iniciais para adequação às disposições contidas na Lei Geral de Proteção de Dados (LGPD).
Imperioso mencionar que com a nomeação do novo presidente do CNJ, a saber: Ministro do Supremo Tribunal Federal Luiz Fux, houve a publicação da Portaria n° 212, de 15 de outubro de 2020, instituindo novo Grupo de Trabalho destinado à elaboração de estudos e de propostas votadas à adequação dos tribunais à Lei Geral de Proteção de Dados, bem como, revogando a Portaria de n° 63/2019.
Com a entrada em vigor da LGPD, com o hialino e crescente processamento de dados das pessoas naturais disponibilizados e utilizados pelos órgãos do Poder Judiciário brasileiro, o Conselho Nacional de Justiça publicou a Resolução n° 363, de 12 de janeiro de 2021, objetivando estabelece medidas para o processo de adequação à Lei Geral de Proteção de Dados Pessoais a serem adotadas pelos tribunais de Justiça do Brasil.
O Art. 1° da Resolução 363/2021, estabeleceu várias medidas para o processo de adequação à Lei Geral de Proteção de Dados Pessoais, para serem adotadas pelo Poder Judiciário brasileiro. Dispôs também em seu Art. 2°, recomendações de que, de todo o disposto na Resolução, pelo menos algumas ações deveriam ser aplicadas de imediato, de forma a implementar as normas, objetivos e fundamentos da LGPD no Poder Judiciário, veja-se:
Art. 2° Para o cumprimento do disposto nesta Resolução, recomenda-se que o processo de implementação da LGPD contemple, ao menos, as seguintes ações:
I – realização do mapeamento de todas as atividades de tratamento de dados pessoais por meio de questionário, conforme modelo a ser elaborado pelo CNJ;
II– realização da avaliação das vulnerabilidades (gap assessment) para a análise das lacunas da instituição em relação à proteção de dados pessoais; e
III– elaboração de plano de ação (Roadmap), com a previsão de todas as atividades constantes nesta Resolução.
Em atenção ao artigo acima mencionado e seus parágrafos, verifica-se que mesmo antes da entrada em vigor da LGPD, o CNJ em seu mister constitucional e infraconstitucional, já instituiu grupos de trabalho de forma a visualizar e prever os impactos que esta Lei protetora de dados das pessoas naturais traria ao Poder Judiciário. E diante da entrada em vigor da Lei, bem como, da previsão de aplicação de sansões àqueles órgãos que não se adequarem a ela, mesmo que de forma mínima, o Conselho Nacional de Justiça, normatizou a padronização os critérios mínimos para os programas de implementação prática da LGPD em todos os tribunais do país através da Resolução 363/2021.
Para que se possa compreender os impactos das normas, objetivos e fundamentos da LGPD no Poder Judiciário, faz-se necessário discorrer sobre o conceito, origem e finalidade deste último. No tocante ao conceito e finalidade do Poder Judiciário, relata CARVALHO (2017, p. 34):
Ao Judiciário é atribuída a função de dizer o direito ao caso concreto, pacificando a sociedade, em face da resolução dos conflitos, com caráter de definitividade, sendo esse Poder, com exclusividade, responsável pela formação da coisa julgada. (...)
Por sua vez, a função típica do Poder Judiciário é solucionar definitivamente conflitos de interesses sempre mediante a provocação do interessado, haja vista o fato de que a função jurisdicional, no Brasil, tem a característica da inércia.
Ora, o Poder Judiciário é um órgão público, responsável pela resolução de conflitos, através do qual diz o direito no caso concreto, conforme assevera o doutrinador Matheus Carvalho, sendo, pois, esta a sua função típica. Este Poder, não age de forma parcial, mas imparcial, de acordo com as informações e dados, na maioria das vezes pessoais de pessoas naturais, que lhe são informadas e instrumentalizadas através de meios físicos e eletrônicos.
A Poder Judiciário no ordenamento jurídico brasileiro tem sua origem e distribuição de competências na Constituição Federal, para ser mais preciso, no Art. 92 e seus respectivos incisos, senão veja-se:
Art. 92. São órgãos do Poder Judiciário:
I - o Supremo Tribunal Federal;
I - A o Conselho Nacional de Justiça;
II - o Superior Tribunal de Justiça;
II- A - o Tribunal Superior do Trabalho;
III - os Tribunais Regionais Federais e Juízes Federais;
IV - os Tribunais e Juízes do Trabalho;
V - os Tribunais e Juízes Eleitorais;
VI - os Tribunais e Juízes Militares;
VII - os Tribunais e Juízes dos Estados e do Distrito Federal e Territórios.
Assim sendo, toda e qualquer pessoa natural que queira ver seus direitos resguardados, e não ver outra saída para tanto, terá que ingressar por meio de advogado devidamente constituído com instrumento procuratório, no órgão judiciário competente. O ingresso pleiteando direito junto ao Poder Judiciário, dar-se através de petição inicial e o tratamento de dados pessoais, comprovante de endereço, contato telefônico e eletrônicos, e outros documentos comprobatórios de acordo com o caso concreto, em conformidade com o Art. 319 do Código de Processo Civil (CPC).
A constituição Federal, trouxe no Art. 93, inciso IX, a norma com previsão de que haverá casos em que o tratamento de dados pessoais, e informações de determinadas decisões e até mesmos processos na íntegra, correção em segredo de justiça, de forma a resguardar e preservar a direito fundamental de intimidade da pessoa natural, para tanto, veja-se:
Art. 93 (...)
(...)
IX todos os julgamentos dos órgãos do Poder Judiciário serão públicos, e fundamentadas todas as decisões, sob pena de nulidade, podendo a lei limitar a presença, em determinados atos, às próprias partes e a seus advogados, ou somente a estes, em casos nos quais a preservação do direito à intimidade do interessado no sigilo não prejudique o interesse público à informação.
Diante do trecho da norma constitucional acima mencionada, bem como, do conceito, finalidade e competências do Poder Judiciário, inicia-se a percepção dos impactos que a Lei Geral de Proteção de Dados irá causar a este Poder, em decorrência de cada dia mais, ocorrer o crescente processamento de dados de pessoas naturais nos sistemas físicos e eletrônicos, em busca de resposta jurisdicional.
De acordo com o estabelecido na CF/88 a natureza jurídica do Poder Judiciário é de órgão público da administração pública direta, sendo, pois, lhe assegurado autonomia administrativa e financeira, conforme dispõe o Art. 99 da Carta Magna. Seus membros ingressam mediante concurso público de provas ou de provas e títulos, em atendimento ao disposto no Arts. 37, II, e 93, I, ambos da Constituição Federal da República Federativa do Brasil, para tanto, respectivamente:
Art. 37. A administração pública direta e indireta de qualquer dos Poderes da União, dos Estados, do Distrito Federal e dos Municípios obedecerá aos princípios de legalidade, impessoalidade, moralidade, publicidade e eficiência e, também, ao seguinte:
(...)
II - a investidura em cargo ou emprego público depende de aprovação prévia em concurso público de provas ou de provas e títulos, de acordo com a natureza e a complexidade do cargo ou emprego, na forma prevista em lei, ressalvadas as nomeações para cargo em comissão declarado em lei de livre nomeação e exoneração;
(...)
Art. 93. Lei complementar, de iniciativa do Supremo Tribunal Federal, disporá sobre o Estatuto da Magistratura, observados os seguintes princípios:
I - ingresso na carreira, cujo cargo inicial será o de juiz substituto, mediante concurso público de provas e títulos, com a participação da Ordem dos Advogados do Brasil em todas as fases, exigindo-se do bacharel em direito, no mínimo, três anos de atividade jurídica e obedecendo-se, nas nomeações, à ordem de classificação;
Destarte, não restando dúvidas sobre a essência jurídica do Poder Judiciário, sua natureza, pode-se então, verificar de que modo a Lei Geral de Proteção de Dados (LGPD) lhe será aplicada e quais serão os seus impactos. Uma vez, que se trata de órgão público, assim sendo, ocorrendo o processamento de dados pessoais de pessoas naturais, levar-se-á sempre em consideração, além do estabelecido mediante Portaria pelo CNJ em atendimento à LGPD, os princípios norteadores da Administração Pública, principalmente os normatizados no “caput” do Art. 37 da CF/88, retro citados, sendo: legalidade, impessoalidade, moralidade, publicidade e eficiência.
O Poder Judiciário, por ser um órgão público, ver-se além de ter que seguir o disposto na LGPD, no processamento de dados nas questões administrativas, quanto referente a questão jurisdiconal, deve também, seguir o disposto no Art. 1° da Lei n° 12.527/2021, na qual regula o acesso à informação, veja-se:
Art. 1º Esta Lei dispõe sobre os procedimentos a serem observados pela União, Estados, Distrito Federal e Municípios, com o fim de garantir o acesso a informações previsto no inciso XXXIII do art. 5º, no inciso II do § 3º do art. 37 e no § 2º do art. 216 da Constituição Federal.
Parágrafo único. Subordinam-se ao regime desta Lei:
I - os órgãos públicos integrantes da administração direta dos Poderes Executivo, Legislativo, incluindo as Cortes de Contas, e Judiciário e do Ministério Público;
II - as autarquias, as fundações públicas, as empresas públicas, as sociedades de economia mista e demais entidades controladas direta ou indiretamente pela União, Estados, Distrito Federal e Municípios.
Não restando dúvidas sobre a aplicação da Lei n° 12.527/2021 ao Poder Judiciário, principalmente no tocante à transparências do processamento dos dados pessoais de pessoa naturais, cujo teor e natureza são públicos. Veja-se o que dispõe os §§ 3° e 4° do Art. 7° da LGPD:
Art. 7° (...)
(...)
§ 3º O tratamento de dados pessoais cujo acesso é público deve considerar a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização.
§ 4º É dispensada a exigência do consentimento previsto no caput deste artigo para os dados tornados manifestamente públicos pelo titular, resguardados os direitos do titular e os princípios previstos nesta Lei.
Mister se faz mencionar também o que dispões o Art. 23 da LGPD referente ao tratamento de dados pelos órgãos públicos, na qual deverá ser realizado em atendimento da finalidade pública, na persecução do interesse público, veja-se:
Art. 23. O tratamento de dados pessoais pelas pessoas jurídicas de direito público referidas no parágrafo único do art. 1º da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação) , deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público, desde que:
I - sejam informadas as hipóteses em que, no exercício de suas competências, realizam o tratamento de dados pessoais, fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos;
II - (VETADO); e
III - seja indicado um encarregado quando realizarem operações de tratamento de dados pessoais, nos termos do art. 39 desta Lei;
Destarte, o que se observa, é que a LGPD, em complemento às demais Leis já vigente no ordenamento jurídico brasileiro, a saber: Lei nº 12.965/2014, mas conhecido como “Marco Civil da Internet”, e a Lei 12.527/2021, também conhecido como “Lei da Transparência, dentre outras, veio para tornar o processamento de dados de pessoas naturais um pouco mais seguro, tanto no ambiente físico, quanto virtual na rede mundial de computadores, através das normas, princípios, finalidades e sansões devidamente expressos na Lei Geral de Proteção de Dados.
De fato, vários são os impactos através da LGPD ao Poder Judiciário, haja vista, o enorme número de processamento de dados nos tribunais do Brasil, em matéria administrativa e em matéria jurisdicional. Destarte, o CNJ está buscando através de Portarias e Resoluções, normatizar e padronizar os procedimentos de tratamentos de dados, de forma a adequar ao disposto pela Lei Geral de Proteção de Dados. Não obstante, quando a LGPD impacta o Poder Judiciário, de forma direta afeta a atividade do advogado e dos escritórios de advocacia, uma vez, que no tocante à busca de uma resposta jurisdicional do Estado, do Poder Judiciário, dar-se através de informações e dados pessoais das pessoas naturais informados a advogados e escritórios de advocacia.
3. APLICAÇÃO DA LGPD NAS EMPRESAS
De acordo com o Art. 1° da LGPD, as normas, objetivos e fundamentos da Lei, visando proteger os direitos fundamentais de liberdade, privacidade e a segurança de dados da pessoa natural, também se aplicam as pessoas de direito privado. Com a publicação da referida Lei, as empresas de diversos ramos, que trabalham com cadastros, dados de usuários e etc., serão impactadas, e deverão seguir à risca, os conceitos, fundamentos e princípios elencados pela Lei n° 13.709/2018.
No tocante à proteção de dados das pessoas naturais, a LGPD elenca em seu Art. 5° alguns conceitos importantes, para tanto, mister se faz mencionar abaixo:
Art. 5º Para os fins desta Lei, considera-se:
I - dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
III - dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
IV - banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;
V - titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
(...)
X - tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
XI - anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
XII - consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
XIII - bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados;
XIV - eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;
XV - transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;
XVI - uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;
Concernente a disciplina de proteção de dados pessoais das pessoas naturais, sejam eles sensíveis ou não, dados anonimizados, manuseio de banco de dados, bloqueio de dados temporariamente, uso compartilhado de dados, eliminação de dados, e transferência internacional de dados, as empresas deverão observar os princípios elencados do Art. 2° da LGPD, veja-se:
Art. 2º A disciplina da proteção de dados pessoais tem como fundamentos:
I - o respeito à privacidade;
II - a autodeterminação informativa;
III - a liberdade de expressão, de informação, de comunicação e de opinião;
IV - a inviolabilidade da intimidade, da honra e da imagem;
V - o desenvolvimento econômico e tecnológico e a inovação;
VI - a livre iniciativa, a livre concorrência e a defesa do consumidor; e
VII - os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.
Ora, objetivando a proteção dos dados da pessoa natural, diante dos fundamentos acima elencados, pode-se destacar dentre eles: o respeito à privacidade, a inviolabilidade da intimidade, a honra e da imagem, a defesa do consumidor, os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais. Importante mencionar que no ato do processamento de dados, caso esses princípios não sejam obedecidos, as empresas poderão sofrer sansões, dispostas na própria Lei da LGPD.
Além dos fundamentos elencados, no tratamento de dados das pessoas naturais, as empresas também terão que obedecer a boa-fé, bem como, as normas referentes aos princípios, conforme dispõe o Art. 6° Lei n° 13.709/2018:
Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:
I - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
II - adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
III - necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
IV - livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
V - qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
VI - transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
VII - segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
VIII - prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
IX - não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
X - responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
Ademais, no ato do tratamento de dados pessoais das pessoas naturais, este, só poderá ocorrer de fato, nos casos tipificados no Art. 7° LGPD e seus 10 (dez) incisos. Para tanto, veja-se a primeira hipótese:
Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
I - mediante o fornecimento de consentimento pelo titular;
O artigo de Lei acima mencionado traz uma das possiblidades para realização de tratamento de dados das pessoas naturais pelas empresas, sendo, pois, necessário o consentimento da pessoa titular. O inciso V, do Art. 5° traz o conceito de pessoa titular: “pessoa natural a quem se referem os dados pessoais que são objeto de tratamento”. O § 4° do Art. 7° da LGPD, traz a possibilidade de dispensa do consentimento do titular, veja-se:
Art. 7° (...)
(...)
§ 4º É dispensada a exigência do consentimento previsto no caput deste artigo para os dados tornados manifestamente públicos pelo titular, resguardados os direitos do titular e os princípios previstos nesta Lei.
A Lei n° Lei n° 13.709/2018, no inciso XII, do Art. 5° traz a informação expressa do que seja o consentimento pelo titular, e de que forma deve ocorrer, sendo: “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”. Desta forma, salvo, nos casos de dispensa, a empresa deve obedecer ao disposto na LGPD e ter o consentimento do titular para o processamento de dados.
Imperioso mencionar que, de acordo a LGPD, o titular de direito dos dados pessoais poderá consentir, negar consentimento ou revogar autorização anteriormente concedida à empresa para o processamento de dados. Se em algum dado momento o titular do direito perceber que os seus dados não estão sendo utilizados para o fim específico autorizado, poderá solicitar a empresa correção de utilização dos dados, e não sendo corrigido, poderá acionar a Autoridade Nacional de Proteção de Dados (ANPD).
Não obstante, verifica-se que ainda restam 09 hipóteses elencadas no Art. 7° da LGPD, em que as empresas não precisam de consentimento do titular para processamento de dados, veja-se:
Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
(...)
II - para o cumprimento de obrigação legal ou regulatória pelo controlador;
III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;
IV - para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
V - quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
VI - para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
VII - para a proteção da vida ou da incolumidade física do titular ou de terceiro;
VIII - para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
IX - quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
X - para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
Ora, o rol dos 07 incisos do Art. 7° acima mencionados, traz para as Empresas as hipóteses de processamento de dados sem a necessidade do consentimento do titular dos dados, desta forma, na implantação do LGPD na empresa, além de obedecer às normas, aos princípios e fundamentos, faz-se necessário, como um dos primeiros passos, observar atentamente quais dados necessitam do consentimento do titular, e quais não, para que a empresa não venha sofrer sansões no futuro.
Verifica-se, que a implantação da LGPD nas empresas, além de impactar o ramos empresarial referente à obrigações e adequações ao novo cenário legal, é também uma oportunidade muito interessante para o profissional da advocacia, pois, será necessário um acompanhamento de um especialista na LGPD, de forma a orientar as empresas de forma preventiva, sobre coleta de dados, processamento e o encerramento, objetivando a não aplicação de sansões pela Autoridade Nacional de Proteção de Dados (ANPD), por descumprimento do disposto na LGPD.
3.1 DAS BOAS PRÁTICAS DE SEGURANÇA PARA TODA AS ORGANIZAÇÕES
A LGPD trouxe um capítulo específico, do Art. 46 ao 49, para tratar das boas práticas a serem adotada pelas empresas, por toda e qualquer tipo de organização, na qual tratam diretamente com processamento de dados pessoais das pessoas naturais. O objetivo da LGPD e a preocupação do legislador foi em garantir a segurança da informação pessoal, que direta ou indiretamente possa identificar o titular dos dados. Para tanto, veja-se a definição de segurança da informação trazida no Guia Orientativo Sobre Segurança da Informação para Agentes de Tratamento de Pequeno Porte da ANPD:
A segurança da informação pode ser definida como o conjunto de ações que visam à preservação da confidencialidade, integridade e disponibilidade da informação. Esse conjunto de ações impacta todo o ambiente institucional das empresas, com objetivo de prevenir, detectar e combater as ameaças digitais. (GUIA ORIENTATIVO SOBRE SEGURANÇA DA INFORMAÇÃO PARA AGENTES DE TRATAMENTO DE PEQUENO PORTE, 2021)
Quando se fala em boas práticas do setor tecnológico de toda e qualquer organização, a segurança da informação é prioridade, pois, os dados por elas processados, relativos principalmente a dados pessoais devem ser preservados dentro de uma confidencialidade, integridade nos dados, bem como, disponibilidade da informação, haja vista, tratar-se de informação pessoal de pessoa natural. O inciso VII do Art. 6° da LGPD traz o conceito sobre segurança no processamento de dados, sendo: “utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão”.
No tocante à segurança dos dados, a LGPD trouxe e definiu a figura de duas funções importantes nas organizações e empresas, sendo: o controlador e o operador, elencados e conceituados nos incisos VI e VII do Art. 5°, veja-se:
Art. 5° (...)
(...)
VI - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
VII - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
O controlador é responsável pelas decisões referentes ao tratamento de dados pessoais, bem como, responsável pela emissão de relatório de impacto à proteção de dados pessoais, de forma a mitigar os riscos:
Art. 5° (...)
(...)
XVII - relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco; (BRASIL, 2018)
O relatório de impacto à proteção de dados pessoais, é de suma importância para as organizações, e é tido como uma das boas práticas, veja-se o que dispõe o Guia Orientativo Sobre Segurança da Informação para Agentes de Tratamento de Pequeno Porte da ANPD: “Um importante ponto é o gerenciamento de riscos no âmbito da segurança da informação, que consiste no processo de identificar, quantificar e gerenciar os riscos relacionados à segurança da informação dentro da organização”.
No tocante à segunda função, a de operador, o Art. 39 da LGPD dispõe: “O operador deverá realizar o tratamento segundo as instruções fornecidas pelo controlador, que verificará a observância das próprias instruções e das normas sobre a matéria.”
O Art. 49 da LGPD informa que as organizações deverão utilizar sistemas bem estruturados para realizar o tratamento de dados pessoais das pessoas naturais, desde a fase de concepção do produto ou do serviço até a sua execução, de forma a atender aos requisitos de segurança, aos padrões de boas práticas, bem como aos princípios gerais previstos na Lei e às demais normas regulamentares. Diante da necessidade de sistemas operacionais de tratamento de dados eficazes, de forma a atender a legislação e determinações da LGPD, verifica-se também a possibilidade de desenvolvimento econômico na área de tecnologia e a inovação, a partir desde novo cenário de necessidade de segurança jurídica em todo o país.
3.2 DAS BOAS PRÁTICAS DE GOVERNANÇA DE DADOS
A Lei Geral de Proteção de Dados – LGPD também positivou um capítulo específico para tratar das boas práticas de governança, referente ao processamento de dados pessoais de pessoas naturais. Para tanto, veja-se o que dispõe o Art. 50 da referida Lei:
Art. 50. Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.
A legislação aponta dois agentes responsáveis pelo tratamento de dados, sendo eles o controlador e o operador, cada um com suas funções e competências definidas na Lei, e já mencionadas em tópico anterior. Estes por sua vez, podem formular regras de boas práticas e de governança de forma a estabelecer condições de organização, segurança, funcionamento e procedimentos para tratamento de dados, incluindo a possibilidade de reclamações e petições dos titulares dos dados. Podem estabelecer padrões internos, de forma a prever e mitigar riscos além de outras questões que de fato tenham ligação com os dados pessoais das pessoas naturais.
A LGPD também estabeleceu no § 1° do Art. 50, a forma como os agentes de tratamento de dados formularão e levarão em consideração ao estabelecer regras de boas práticas, sendo: “a natureza dos dados, o escopo, a finalidade e a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular”. A legislação também informa que na aplicação dos princípios da transparência e da segurança, elencados nos incisos VI e VII do Art. 6° da LGPD, o agente controlador poderá implementar atos de governança em privacidade, bem como, demonstrar a efetividade do programa de governança, veja-se:
Art. 50 (...)
(...)
§ 2° (...)
I - implementar programa de governança em privacidade que, no mínimo:
a) demonstre o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais;
b) seja aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo como se realizou sua coleta;
c) seja adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados;
d) estabeleça políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade;
e) tenha o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular;
f) esteja integrado a sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos;
g) conte com planos de resposta a incidentes e remediação; e
h) seja atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas;
II - demonstrar a efetividade de seu programa de governança em privacidade quando apropriado e, em especial, a pedido da autoridade nacional ou de outra entidade responsável por promover o cumprimento de boas práticas ou códigos de conduta, os quais, de forma independente, promovam o cumprimento desta Lei.
De acordo com o § 3° do Art. 50 da LGPD, as regras de boas práticas de governança de dados acima elencados, que serão implantadas pelo agente controlador deverão ser publicadas e atualizadas periodicamente e poderão ser reconhecidas e divulgadas pela autoridade nacional.
3.3 DA BASE LEGAL DE TRATAMENTO DE DADOS PESSOAIS NO CONTROLE DE ACESSO
A LGPD trouxe no espoco da Lei os requisitos para o tratamento de dados pessoais das pessoas naturais, estes estão elencados no Art. 7°, veja-se:
Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
I - mediante o fornecimento de consentimento pelo titular;
II - para o cumprimento de obrigação legal ou regulatória pelo controlador;
III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;
IV - para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
V - quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
VI - para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
VII - para a proteção da vida ou da incolumidade física do titular ou de terceiro;
VIII - para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
IX - quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
X - para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
Para a realização de dados pessoais de pessoas naturais, seja por ente público, por órgão público, por empresas privadas, por advogados ou escritórios de advocacia, será necessário observar rigorosamente essas 10 (dez) possibilidades elencadas acima. Imperioso mencionar, que no tocante ao tratamento de dados pessoais cujo acesso é público mediante cadastro ou pesquisa, por pessoa natural ou por pessoa jurídica de direito público ou privado, a LGPD estabelece que, deverá ser levado em consideração a finalidade do tratamento, bem como, a observância do princípio da boa-fé e o interesse público que justificaram disponibilização dos dados.
De acordo com o § 3° do Art. 7° é vedado o tratamento de dados por vício de consentimento, ou seja, se um titular de dados consentir que a empresa, o ente público, ou o advogado possa utilizar seus dados para determinado fim, e posteriormente ocorrer o tratamento de dados com outra finalidade, sem a ratificação do titular, o consentimento poderá ser revogado a qualquer tempo, por tratar-se de tratamento de dados com vício de consentimento, sem prejuízo de sansões aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD).
O Art. 55-A da LGPD traz as disposições relativas à criação da Autoridade Nacional de Proteção de Dados (ANPD), e os artigos seguintes, sua composição. Não obstante, mencionaremos o disposto no Art. 55-J referente a competência para aplicações da sansões pela ANPD, veja-se:
Art. 55-J. Compete à ANPD: (Incluído pela Lei nº 13.853, de 2019)
I - zelar pela proteção dos dados pessoais, nos termos da legislação; (Incluído pela Lei nº 13.853, de 2019)
II - zelar pela observância dos segredos comercial e industrial, observada a proteção de dados pessoais e do sigilo das informações quando protegido por lei ou quando a quebra do sigilo violar os fundamentos do art. 2º desta Lei; (Incluído pela Lei nº 13.853, de 2019)
III - elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade; (Incluído pela Lei nº 13.853, de 2019)
IV - fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso; (Incluído pela Lei nº 13.853, de 2019)
V - apreciar petições de titular contra controlador após comprovada pelo titular a apresentação de reclamação ao controlador não solucionada no prazo estabelecido em regulamentação; (Incluído pela Lei nº 13.853, de 2019)
(...)
XVI - realizar auditorias, ou determinar sua realização, no âmbito da atividade de fiscalização de que trata o inciso IV e com a devida observância do disposto no inciso II do caput deste artigo, sobre o tratamento de dados pessoais efetuado pelos agentes de tratamento, incluído o poder público; (Incluído pela Lei nº 13.853, de 2019)
(...)
XXI - comunicar às autoridades competentes as infrações penais das quais tiver conhecimento; (Incluído pela Lei nº 13.853, de 2019)
Imperioso mencionar também quais são as sansões administrativas elencadas pela LGPD no Art. 52, veja-se:
Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional: (Vigência)
I - advertência, com indicação de prazo para adoção de medidas corretivas;
II - multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
III - multa diária, observado o limite total a que se refere o inciso II;
IV - publicização da infração após devidamente apurada e confirmada a sua ocorrência;
V - bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
VI - eliminação dos dados pessoais a que se refere a infração;
VII - (VETADO);
VIII - (VETADO);
IX - (VETADO).
X - suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador; (Incluído pela Lei nº 13.853, de 2019)
XI - suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período; (Incluído pela Lei nº 13.853, de 2019)
XII - proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados. (Incluído pela Lei nº 13.853, de 2019)
A Autoridade Nacional de Proteção de Dados (ANPD), ao verificar irregularidade no tratamento de dados pessoais das pessoas naturais poderá aplicar as sansões acima dispostas, mediante procedimento administrativo, oportunizando a ampla defesa, e deverá observar os critérios e parâmetros elencados no § 1° do Art. 52:
§ 1º As sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados os seguintes parâmetros e critérios:
I - a gravidade e a natureza das infrações e dos direitos pessoais afetados;
II - a boa-fé do infrator;
III - a vantagem auferida ou pretendida pelo infrator;
IV - a condição econômica do infrator;
V - a reincidência;
VI - o grau do dano;
VII - a cooperação do infrator;
VIII - a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com o disposto no inciso II do § 2º do art. 48 desta Lei;
IX - a adoção de política de boas práticas e governança;
X - a pronta adoção de medidas corretivas; e
XI - a proporcionalidade entre a gravidade da falta e a intensidade da sanção.
O titular dos dados pessoais, que disponibiliza seus dados para cadastro, para realização de contratos, procurações e armazenamento de dados em sistemas físicos ou eletrônicos das pessoas físicas, jurídicas de direito público, direito privado, bem como, tribunais de justiça e advogados, tem direito às informações de como estão sendo realizado o tratamento de seus dados pessoais, consoante o Art. 9° da LGPD, veja-se:
Art. 9º O titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca de, entre outras características previstas em regulamentação para o atendimento do princípio do livre acesso:
I - finalidade específica do tratamento;
II - forma e duração do tratamento, observados os segredos comercial e industrial;
III - identificação do controlador;
IV - informações de contato do controlador;
V - informações acerca do uso compartilhado de dados pelo controlador e a finalidade;
VI - responsabilidades dos agentes que realizarão o tratamento; e
VII - direitos do titular, com menção explícita aos direitos contidos no art. 18 desta Lei.
Ora, diante do artigo acima mencionado verifica-se de forma hialina as cláusulas que deverão constar em regulamento ou contrato, sendo: finalidade específica na qual os dados serão utilizados, forma e duração do tratamento, incluindo os segredos comerciais, e no caso de dados sensíveis ou que envolvam crianças e adolescentes – segredo de justiça, em ações de família e outras modalidades em contrato com advogados; as informações referente ao compartilhamento de dados pessoais pelo agente controlado, bem como, deve constar as responsabilidade dos agentes que irão realizar o tratamento dos dados pessoais.
Concernente ao prazo de duração do tratamento de dados, a LGPD trouxe um capítulo específico referente ao término do tratamento de dados pessoais das pessoas naturais. Para tanto, veja-se o disposto no Art. 15:
Art. 15. O término do tratamento de dados pessoais ocorrerá nas seguintes hipóteses:
I - verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada;
II - fim do período de tratamento;
III - comunicação do titular, inclusive no exercício de seu direito de revogação do consentimento conforme disposto no § 5º do art. 8º desta Lei, resguardado o interesse público; ou
IV - determinação da autoridade nacional, quando houver violação ao disposto nesta Lei.
De acordo com o disposto acima, verifica-se as hipóteses de término de tratamento de dados, seja por pessoa natural, pessoa jurídica de direito público ou privado, advogados e escritórios de advocacia. A primeira possibilidade é quando a finalidade do objeto for alcançada, ou que os dados deixem de ser necessários ou pertinente à finalidade proposto inicialmente. A segunda, refere-se ao fim do período de tratamento, ou seja, em determinados contratos constará cláusula especificando a data fim para o tratamento de dados. Não obstante, a terceira possibilidade ocorrer por comunicação do titular, revogação do consentimento para o tratamento dos seus dados pessoais. Por fim, ocorrer o término do tratamento de dados por determinação da autoridade nacional ANPD.
Mister mencionar que a LGPD foi além, e positivou não só a possibilidade do término de tratamento de dados pessoais das pessoas naturais, mas, também, a eliminação dos dados após o término do tratamento. Destarte, veja-se o disposto no Art. 16 da LGPD:
Art. 16. Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades:
I - cumprimento de obrigação legal ou regulatória pelo controlador;
II - estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
III - transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei; ou
IV - uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.
A pessoa natural, titular de dados, de acordo com o Art. 17 da Lei n. 13.709/2018, tem assegurada a titularidade de seus dados pessoais e garantidos os direitos fundamentais de liberdade, de intimidade e de privacidade. Além daqueles direitos elencados no Art. 9° da LGPD, anteriormente mencionados, está positivado no Art. 18 do mesmo diploma legal outros direitos, destarte, mister se faz mencionar:
Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:
I - confirmação da existência de tratamento;
II - acesso aos dados;
III - correção de dados incompletos, inexatos ou desatualizados;
IV - anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;
V - portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
VI - eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei;
VII - informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
VIII - informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
IX - revogação do consentimento, nos termos do § 5º do art. 8º desta Lei.
Ora, os direitos elencados nos Arts. 09, 17, e 18, dentre outros elencados na LGPD, bem como, os princípios e fundamentos por ela definidos, são necessários para resguardar os direitos de intimidade, privacidade, e dignidade da pessoa humana das pessoas naturais, por isso o tratamento de dados, seja por ente público, por empresa privada, ou por advogados devem obedecer à risca o disposto na LGPD.
Imperioso mencionar que não se deve confundir o sigilo profissional disposto no Art. 35 do Código de Ética e Disciplina da Ordem dos Advogados do Brasil, com o disposto na LGPD sobre processamento de dados. Veja-se o Art. 35 retro mencionado:
Art. 35. O advogado tem o dever de guardar sigilo dos fatos de que tome conhecimento no exercício da profissão.
Parágrafo único. O sigilo profissional abrange os fatos de que o advogado tenha tido conhecimento em virtude de funções desempenhadas na Ordem dos Advogados do Brasil.
O Art. 35 do Código de Ética e Disciplina da Ordem dos Advogados do Brasil, trata do dever de guardar sigilo dos fatos na qual o advogado tome conhecimento através do exercício profissional entre advogado e cliente. A LGPD veio regulamentar sobre o tratamento de dados e não de fatos, haja vista, que este último já possui regulamentação através do conselho de classe específico. A Lei Geral de Proteção de Dados, de fato afetou a atividade dos advogados, o seu dia a dia, uma vez, que ela regulamentou o processamento dos dados, o término, bem como, a eliminação desses dados, na qual serão entregues aos advogados, muitos em segredo de justiça e com finalidade específica, que deverão estarem de forma expressa em cláusulas no contrato de honorários advocatícios.
Por meio deste estudo foi possível discutir algumas questões ligadas a Lei Geral de Proteção de Dados (LGPD). Conhecendo que os dados pessoais das pessoas naturais estão relacionados aos direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, e que de fato esses dados estão sendo coletados e tratados diariamente por pessoas naturais, pessoas jurídicas de direito público e privados, inclusive advogados e escritórios de advocacia, a referida Lei normatizou por meios de conceitos, fundamentos e princípios as modalidades lícitas de tratamento de dados.
Por meio da publicação da LGPD os entes públicos, órgão públicos, os poderes independentes e harmônicos, tiveram que se adequar ao novo cenário imposto pela Lei em tela. Por exemplo o Poder Judiciário, na qual realiza o processamento de dados tanto na parte administrativa, quanto jurisdicional. O CNJ emitiu portaria nomeando grupo de trabalho de forma a buscar e prever os impactos iniciais trazidos pela Lei Geral de Proteção de Dados. E que, com a vigência da Lei, publicou uma resolução objetivando padronizar o modo de adequação à LGPD em todos os tribunais brasileiros.
Não obstante, também as organizações de direito privado, tiveram que se adequar à nova realidade de tratamento de dados pessoais das pessoas naturais. É mister verificar quais dados necessitam de consentimento do titular, e quais não necessitam, para que as organizações não venham receber sansões administrativas mediante processo administrativo pela Autoridade Nacional de Proteção de Dados (ANPD), por vício de consentimento em tratamento de dados.
Resta evidente nesse estudo, que a LGPD causou impacto tanto no âmbito público, no Poder Judiciário, bem como, nas organizações de direito privado que tiveram que adequar-se, e que em detrimento disto verifica-se que a Lei Geral de Proteção de Dados tornou tanto no âmbito físico, quanto na internet (âmbito digital), um ambiente mais seguro aos titulares dos dados, no tocante à coleta, tratamento, encerramento e eliminação de dados.
Verifica-se que, de acordo como dispõe a LGPD, é necessário tanto no âmbito público, como no privado, a presença dos agentes de tratamento, sendo: o controlador e o operador, para que se institua as boas práticas de segurança e de governança, objetivando dar maior segurança, principalmente quando se fala em sistema tecnológico para processamento de dados das pessoas naturais.
Por fim, com os impactos trazidos pela Lei Geral de Proteção de Dados aos órgãos públicos, Poder Judiciário, e às organizações de direito privado, resta hialino que, de forma direta a LGPD afeta o dia a dia dos advogados e dos escritórios de advocacia, haja vista, sem advogado não há se falar em administração da justiça, conforme preconiza o Art. 133 da CF/88, e mais, o advogado ao representar e buscar uma resposta jurisdiconal de um cidadão realiza tratamento de dados pessoais de pessoas naturais, na qual deverá constar em cláusulas de contrato de honorários advocatícios, a forma de coleta de dados, sua finalidade, tratamento, término e eliminação.
BRASIL, Constituição (1988). Constituição da República Federativa do Brasil. Brasília, DF: Presidência da República, 1988. Disponível em: <http://www.planalto.gov.br/ccivil_03/constituicao/constituicaocompilado.htm> Acesso em: 24 de set.2021.
_______, Constituição (1988). Constituição do Estado do Tocantins. Palmas, TO: Governo Estadual, 1989. Disponível em: <https://www.plenum.com.br/Plenum_jp/lpext.dll/Est/Infobase/3848?fn=document-frame.htm&f=templates&2.0 (central3.to.gov.br)> Acesso em: 24 de set.2021.
_______, Lei n. 13.105, de 16 de março de 2015. Código de Processo Civil. Brasília. Disponível em:
<http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2015/Lei/L13105.htm> Acesso em: 24 de set.2021.
_______, Lei n. 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados (LGPD). Brasília. Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/Lei/L13709.htm#art65> Acesso em: 20 de set.2021.
_______, Conselho Federal da Ordem dos Advogados do Brasil. Resolução 02/2015. Aprova o Código de Ética e Disciplina da Ordem dos Advogados do Brasil – OAB. Brasília, DF: Conselho Federal da Ordem dos Advogados do Brasil, 2015. Disponível em: <https://www.oab.org.br/arquivos/resolucao-n-022015-ced-2030601765.pdf> Acesso em: 12 de out.2021.
_______, Conselho Nacional de Justiça. Resolução n. 363, de 12 de janeiro de 2021. Estabelece medidas para o processo de adequação à Lei Geral de Proteção de Dados Pessoais a serem adotadas pelos tribunais. Brasília, DF: Conselho Nacional de Justiça, 2021. Disponível em: <https://atos.cnj.jus.br/files/original18120420210119600720f42c02e.pdf> Acesso em: 12 de out.2021.
_______, Portaria n. 63, de 26 de abril de 2019. Institui Grupo de Trabalho destinado à elaboração de estudos e propostas voltadas à política de acesso às bases de dados processuais dos tribunais e dá outras providências. Brasília, DF: Conselho Nacional de Justiça, 2019. Disponível em: <https://atos.cnj.jus.br/files/compilado043105202008065f2b8789824e1.pdf> Acesso em: 12 de out.2021.
_______, Portaria n. 212, de 15 de outubro de 2020. Institui Grupo de Trabalho destinado à elaboração de estudos e de propostas votadas à adequação dos tribunais à Lei Geral de Proteção de Dados e dá outras providências. Brasília, DF: Conselho Nacional de Justiça, 2020. Disponível em: <https://atos.cnj.jus.br/files/original202445202010165f8a018d31b02.pdf> Acesso em: 11 de out. 2021.
_______, Recomendação n° 73, de 20 de agosto de 2020. Judiciário brasileiro a adoção de medidas preparatórias e ações iniciais para adequação às disposições contidas na Lei Geral de Proteção de Dados – LGPD. Brasília, DF: Conselho Nacional de Justiça, 2020. Disponível em: <https://atos.cnj.jus.br/files/compilado135819202102266038fe7b3b752.pdf> Acesso em: 12 de out.2021.
_______, Autoridade Nacional de Proteção de Dados. Publicações da ANPD. Brasília, DF: Autoridade Nacional de Proteção de Dados, 2021. Disponível em: <https://www.gov.br/anpd/pt-br/documentos-e-publicacoes> Acesso em: 12 de out. 2021.
_______, Governo do Brasil. Guia de Boas Práticas Lei Geral de Proteção de Dados (LGPD). Brasília, DF: Governo do Brasil, 2021. Disponível em: <https://www.gov.br/governodigital/pt-br/seguranca-e-protecao-de-dados/guias/guia_lgpd.pdf> Acesso em: 15 de out.2021
Graduando do curso de Direito da Faculdade de Ciências Jurídicas de Paraíso do Tocantins (FCJP).
Conforme a NBR 6023:2000 da Associacao Brasileira de Normas Técnicas (ABNT), este texto cientifico publicado em periódico eletrônico deve ser citado da seguinte forma: SILVA, Welliton Botelho da. Lei geral de proteção de dados pessoais - LGPD: Lei 13.709/2018 Conteudo Juridico, Brasilia-DF: 23 nov 2021, 04:10. Disponivel em: https://conteudojuridico.com.br/consulta/Artigos/57558/lei-geral-de-proteo-de-dados-pessoais-lgpd-lei-13-709-2018. Acesso em: 23 dez 2024.
Por: MARIANA BRITO CASTELO BRANCO
Por: Jorge Hilton Vieira Lima
Por: isabella maria rabelo gontijo
Por: Sandra Karla Silva de Castro
Por: MARIA CLARA MADUREIRO QUEIROZ NETO
Precisa estar logado para fazer comentários.