LEONARDO GUIMARÃES TORRES

(orientador)

Resumo: A Lei Geral de Proteção de Dados Pessoais (LGPD), Lei 13.709/2018, tem como objetivo regulamentar a proteção de dados pessoais pelas empresas. A LGPD visa diminuir a assimetria informativa entre os titulares e os controladores da coleta de dados, no que diz respeito às finalidades de uso das informações coletadas. A lei define direitos das pessoas, como acesso aos seus dados em poder do controlador, a possibilidade de retificá-los em caso de erros, a portabilidade para outra organização, além da revogação do termo de consentimento. A Lei busca um equilíbrio entre a proteção à privacidade e o uso de dados pessoais, baseados nos novos modelos de negócios. O setor financeiro já possui um ambiente de proteção robusto e a criação da LGPD trouxe consigo uma visão diferente para o cenário regulatório. Em alinhamento com as expectativas internacionais, à medida que cresce o uso de tecnologias de processamento de dados, se tornando cada dia mais uma ferramenta dos nossos direitos e de nossas liberdades, a proteção de dados é fruto de amadurecimento, da evolução da sociedade, da evolução do homem.

Palavras-chave: Proteção de dados. Privacidade. LGPD. Dados Pessoais.

Abstract: The General Data Protection Law (LGPD), Law n° 13.709 / 2018, aims to regulate the protection of personal data by companies. The LGPD aims to reduce the information asymmetry between data collection holders and controllers, regarding the purposes of using the information collected. The law defines people's rights, such as access to their data held by the controller, the possibility of rectifying them in case of errors, the portability to another organization, in addition to the revocation of the consent form. The Law seeks a balance between protection of privacy and the use of personal data, based on new business models. The financial sector already has a robust protection environment and the creation of the LGPD brought with it a different view of the regulatory landscape. In line with international expectations, as the use of data processing technologies grows, becoming more and more a tool of our rights and freedoms, data protection is the result of maturity, the evolution of society, and the man's evolution.

Keywords: Data protection. Privacy. LGPD. Personal data.

Sumário: 1. Introdução. 2. Breve relato histórico da proteção de dados no Brasil. 3. LGPD: Definição, fundamentos e âmbito de aplicação. 4. Direitos do titular de dados. 5. Encarregado sobre o tratamento de dados pessoais – DPO. 6. Regulamentação e fiscalização. 7. Conclusão. 8. Referências.

1.    Introdução

Atualmente, mais de 126 países no mundo possuem leis para a proteção de dados pessoais. A proteção de dados é uma questão de preocupação constante. Em busca de consolidar-se no mercado e aumentar suas receitas, muitas empresas coletam dados e tratam da forma que lhes convém, haja vista não existir uma política efetiva de proteção e tutela desses dados.

A lei 12.965/14, conhecida como Marco Civil da Internet, tratou de forma muito superficial a questão da proteção de dados pessoais. No campo da tutela de direitos na internet continuou existindo um vácuo jurídico muito grande, pois não havia um diploma legal específico que tratasse a respeito da proteção de dados pessoais.

A LGPD foi discutida por oito anos no Brasil e aprovada em regime de urgência, após debates que surgiram em torno da GDPR (General Data Protection Regulation  ou Regulamentação Geral de Proteção de Dados), criada pela União Europeia (UE), e pela polêmica sobre o vazamento de dados pessoais do Facebook, que se tornou público no começo de 2018.

A LGPD visa diminuir a assimetria informativa entre os titulares e os controladores da coleta de dados, no que diz respeito às finalidades de uso das informações coletadas. A lei define direitos das pessoas, como acesso aos seus dados em poder do controlador, a possibilidade de retificá-los em caso de erros, a portabilidade para outra organização, além da revogação do termo de consentimento. Entre seus objetivos destacam-se: a Proteção à privacidade; Liberdade de expressão, informação, comunicação e opinião; Inviolabilidade da intimidade, honra e da imagem; Desenvolvimento econômico, tecnológico e inovação; Livre iniciativa, livre concorrência e a defesa do consumidor; Direitos humanos, livre desenvolvimento da personalidade, dignidade e exercício da cidadania.

O Banco Central define o sistema financeiro como “conjunto de instituições financeiras e instrumentos financeiros que visam transferir recursos dos agentes econômicos (pessoas, empresas, governo) superavitários para os deficitários.” O setor financeiro é composto por instituições do mercado monetário, mercado de crédito, mercado de capitais, instituições de câmbio e, mais recentemente, também as fintechs.

O setor financeiro já possui um ambiente de proteção robusto e a criação da LGPD trouxe consigo uma visão diferente para o cenário regulatório. A regra geral do sistema financeiro é a conservação do sigilo dos dados pessoais e bancários do cliente, como por exemplo, o perfil de crédito, os ativos e dívidas do indivíduo, os quais necessitam de uma proteção maior, pois são questões que interferem diretamente na economia e na vida do cidadão. O estudo foi realizado por meio de pesquisa bibliográfica utilizando o método dedutivo na avaliação das informações. Utilizou-se como base de dados artigos, livros, teses e periódicos, bem como as informações levantadas em estudos já produzidos sobre o assunto.

Dessa forma, o objetivo desse estudo é descrever sobre o impacto da Lei Geral de Proteção de Dados nas Instituições Financeiras no ambiente de proteção de dados.

2.    Breve relato histórico da proteção de dados no Brasil

É importante compreender como a privacidade tornou-se um direito fundamental, sujeito à proteção pelo estado jurisdicional, tornando-se ainda mais avultoso com o avanço da tecnologia. O que nos permitirá entender as razões históricas da construção normativa, confirmando o fato de ser a privacidade um valor almejado nos dias atuais.

A  Constituição do Império (1824) reconhecia o direito à privacidade ao proteger o “segredo da carta” e a “inviolabilidade da casa”, porém não fazia referência ao sigilo em si, estava mais relacionada com o direito de propriedade, uma vez que não protegia o conteúdo, mas sim a invasão, o ato de obstruir.

A Declaração Universal dos Direitos Humanos reconheceu o direito de inviolabilidade e à vida privada como um direito fundamental do homem. Em seu artigo 12 dispõe que “Ninguém será sujeito à interferência em sua vida privada, em sua família, em seu lar ou em sua correspondência, nem o ataque à sua honra e reputação. Todo ser humano tem direito à proteção da lei contra tais interferências ou ataques. (PARIS, 1948).”

No início da década de 90 diplomas legais começam a surgir no Brasil elevando a proteção dos dados pessoais a outro escalão. A Lei nº 8.078/90 (Código de Defesa do Consumidor) anteviu o direito de o consumidor ter acesso a “informações existentes em cadastros, fichas, registros e dados pessoais e de consumo arquivados sobre ele”. Em 1996 a Lei de Interceptação Telefônica e Telemática (Lei nº 9.296/96) reconheceu o direito à privacidade restringindo o uso desse método investigativo sempre sob o amparo de uma ordem judicial. Foi promulgada em 1997 a Lei do Habeas Data (Lei nº 9.507/97) que regulava o direito constitucional, o rito de acesso e correção de informações pessoais.

Finalmente, em 2002, o Código Civil Brasileiro trouxe um capítulo sobre os Direitos da Personalidade, aprovisionando instrumentos para coibir a violação do mesmo, revelando a privacidade como um direito subjetivo e não compenetrado no direito à propriedade.

Duas leis muito importantes adentraram no ordenamento jurídico brasileiro em 2011: a Lei do Cadastro Positivo (Lei nº 12.414/11) e a Lei de Acesso à Informação (Lei nº 12.527/11). A primeira foi criada almejando a formação e consulta a banco de dados para formação de histórico de crédito, a qual foi alterada pela LGPD para adequação em seu artigo 7º com a aprovação da Lei Complementar nº 166 de 08 de abril de 2019. A segunda, por sua vez, definiu princípios e direitos como da transparência e o respeito à intimidade, vida privada, honra e imagem das pessoas e trouxe a definição de informação pessoal.

A Lei nº 12.737/12, também conhecida como a Lei Carolina Dieckman, criminalizou a invasão de dispositivos informáticos.

Em comemoração ao Dia do Consumidor, em 2013, foi editado o Decreto Do Comércio Eletrônico (Decreto nº 7.962/13), apenas atualizando o código consumerista, regulamentando alguns pontos da lei, já que não pôde inovar.

Em setembro de 2013 foi noticiado que a então Presidente do Brasil, Dilma Rousseff, e seus principais assessores haviam sido alvos de espionagem da agência americana NSA (National Security Agency). A reação do governo foi colocar em tramitação a PL 2126/11 (Marco Civil da Internet) em caráter de urgência.

Somente a partir do Marco Civil da Internet a palavra “privacidade” passou a constar no sistema jurídico brasileiro. Entrou em vigor em 2014, disciplinando o uso da internet no Brasil, antevendo princípios como proteção dos dados pessoais. Em seu artigo 7º garante alguns direitos:

“VII - não fornecimento a terceiros de seus dados pessoais, inclusive registros de conexão, e de acesso a aplicações de internet, salvo mediante consentimento livre, expresso e informado ou nas hipóteses previstas em lei;

VIII - informações claras e completas sobre coleta, uso, armazenamento, tratamento e proteção de seus dados pessoais, que somente poderão ser utilizados para finalidades que:

a) justifiquem sua coleta;

b) não sejam vedadas pela legislação; e

c) estejam especificadas nos contratos de prestação de serviços ou em termos de uso de aplicações de internet;

X - exclusão definitiva dos dados pessoais que tiver fornecido a determinada aplicação de internet, a seu requerimento, ao término da relação entre as partes, ressalvadas as hipóteses de guarda obrigatória de registros previstas nesta Lei. (BRASIL, 2014)”

O General Data Protection Regulation (GDPR) foi aprovado em 2016 e entrou em vigor em 2018. Por essa razão os legisladores brasileiros viram-se obrigados a agilizar a votação de um projeto de lei de dados pessoais, para que as empresas brasileiras não tivessem tanta dificuldade em realizar negócios com europeus, pois o país seria considerado não adequado para tratar dados de cidadãos que estiverem localizados na Europa.

Nesse ínterim, estourou o caso Cambridge Analytica, ocasião em que foram coletados dados de usuários do Facebook para utilização política, influenciando o resultado das eleições presidenciais dos Estados Unidos. Em consequência disso, a apreciação do projeto de lei de Dados Pessoais foi acelerada, levando à sua sanção e publicação no dia 14 de agosto de 2018, sob o número 13.709/18.

Desde então, o Brasil foi elencado na lista de países com uma legislação voltada à proteção de dados pessoais, inspirada no modelo europeu.

3.    LGPD: Definição, fundamentos e âmbito de aplicação

A Lei busca um equilíbrio entre a proteção à privacidade e o uso de dados pessoais, baseados nos novos modelos de negócios. A partir daí, a coleta e uso de dados pessoais deve observar uma finalidade clara e específica, ser lícita, atender à boa-fé e ser devidamente informada à pessoa a quem o dado se refere. Toda atividade que envolva o uso de dados pessoais deve respeitar essas premissas.

Rafael Fernandes Maciel conceitua: “A LGPD dispõe sobre o tratamento de dados pessoais por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, inclusive por meio digital (art. 1º). (MACIEL, 2019, p. 19).”

Para entender a abrangência da lei, devemos observar os aspectos de territorialidade e objetivo. Se o tratamento de dados pessoais visa ofertar bens ou serviços no território nacional ou se a coleta dos dados ocorreu em território nacional, a LGPD é aplicada. Essa regra vale para empresas públicas ou privadas, startups ou empresas tradicionais, profissionais liberais, microempreendedores, grandes corporações, fintechs e bigtechs.

Para Patricia Peck Pinheiro: “A necessidade de uma lei específica sobre proteção dos dados pessoais decorre da forma como está sustentado o modelo atual de negócios da sociedade digital, na qual a informação passou a ser a principal moeda de troca utilizada pelos usuários para ter acesso a determinados bens, serviços ou conveniências.(PINHEIRO, 2020, p.40)”

O que fica de fora? Tratamento de dados com fim exclusivamente particular e não econômico, quando realizado por pessoa física (manter uma agenda de contatos no celular, por exemplo). Também não se aplica a LGPD quando o tratamento ocorre exclusivamente para atender fins jornalísticos, acadêmicos, artísticos, segurança pública, defesa nacional, segurança do Estado, atividades de investigação e repressão de infrações penais.

Maciel (2019, p.30) afirma que dado pessoal é toda informação que pode identificar um indivíduo, ainda que não diretamente. Na visão da LGPD, um dado pessoal é toda informação relacionada a pessoa natural identificada ou identificável. O primeiro caso é o mais simples. A informação, por si só, identifica um único indivíduo, que é o titular – o dono – do dado pessoal. Número do CPF, número do passaporte, número de telefone e endereço de e-mail são exemplos de informações que identificam uma pessoa física.

Para o segundo grupo, informação de pessoa identificável, é preciso mais cuidado pois é necessário avaliar se uma combinação de variáveis identifica um indivíduo. O endereço residencial (logradouro, número, bairro e cidade, por exemplo) pode identificar uma pessoa, desde que ela more sozinha. Caso ela more com outras pessoas, se combinarmos o primeiro nome ou o gênero ou a idade ao endereço, podemos identificar um indivíduo. A profissão/ocupação, salvo poucas exceções, não identifica uma única pessoa. Contudo, a ocupação combinada com o empregador aumenta muito a possibilidade de identificar um indivíduo.

Para Bruno Ricardo Bioni: “Uma lei que terá impacto econômico-social e regulatório como poucas outras tiveram na história do país, suplantável ao que foi o Código de Defesa do Consumidor e a Consolidação das Leis Trabalhistas. Empresas, governos, cidadãos, consumidores, enfim, todos nós estamos, a todo momento, trocando dados. (BIONI, 2020, p. 258)”

Imaginemos uma informação que revela algo sobre a personalidade ou a intimidade de alguém, como sua origem racial ou orientação sexual. Esses dados, quando vinculados a uma pessoa, são chamados de dados pessoais sensíveis e precisam de um tratamento cuidadoso.

De acordo com a lei, os dados pessoais sensíveis são: origem racial ou étnica; convicção religiosa; opinião política; filiação a sindicato ou a organização de caráter religioso, filosófico ou político; dados referentes à saúde ou vida sexual; dado genético ou biométrico.

Pinheiro (2020, p. 42) defende que pela LGPD, as atividades de tratamento legítimo, específico e explícito de dados pessoais informado previamente ao titular devem estar orientadas pelos seguintes princípios: da finalidade, adequação, necessidade, livre acesso, transparência, segurança, responsabilização e prestação de contas.

O tratamento de dados pessoais sensíveis, quando comparado aos demais dados pessoais, tem restrições. Além do consentimento específico do titular, considerando o contexto bancário, por exemplo, ele só pode ser usado para o cumprimento de obrigações legais, execução de políticas públicas, em processos judiciais, administrativos ou arbitrais e para segurança do titular nos processos de identificação e autenticação.

As empresas devem permanecer atentas para não fazer uso de dados sensíveis fora das hipóteses previstas para esse tratamento, especialmente nos processos que derivam perfis pessoais e de propensão ao consumo, pois estamos vivendo a sociedade da informação, como explica Bruno Ricardo Bioni:

“ Por meio do registro de navegação dos usuários cria-se um rico retrato das suas preferências, personalizando-se o anúncio publicitário. A abordagem publicitária passa a ser atrelada com precisão ao perfil do potencial consumidor. Sabe-se o que ele está lendo, quais os tipos de websites acessados, enfim, tudo aquilo em que a pessoa está efetivamente interessada e, em última análise, o que ela está mais suscetível a consumir com base no perfil comportamental. (BIONI, 2020, p.17).”

Tudo o que acontece entre a coleta e a eliminação de um dado pessoal é tratamento. Para a LGPD, o conceito de tratamento é bastante amplo e engloba todas as possibilidades de manuseio de dados pessoais, independente do meio utilizado. Consultar um cadastro, atualizar o endereço e cadastrar um número de telefone são exemplos típicos. Digitalizar uma Carteira de Motorista, encaminhar um contrato de crédito para registro em cartório, gerar uma lista de propensão de consumo e ofertar produtos para os clientes são atividades que envolvem tratamento de dados. O simples fato de guardar dados pessoais em arquivos físicos ou manter registros em bancos de dados ou documentos digitalizados caracteriza um tratamento.

As instituições têm algumas maneiras para chegar até os dados pessoais. A primeira maneira é pela declaração do próprio titular que, para adquirir algum bem ou serviço, informa os dados pessoais necessários para concretizar o negócio. Outra maneira de obter dados pessoais é pela consulta em fontes públicas ou privadas, para complementar ou validar informações (Governo Federal, Serasa ou Boa Vista, por exemplo). Além disso, as instituições também podem determinar um dado pessoal a partir da associação direta de outros dados pessoais pré-existentes. Podemos determinar a idade de uma pessoa sabendo sua data de nascimento, por exemplo.

Por fim, as instituições podem inferir um perfil, uma característica ou um comportamento pessoal observando o histórico de dados do titular. Nesse caso, de maneira geral, são inferências criadas a partir de modelos que tratam um grande número de variáveis, incluindo muitos dados pessoais, para uma finalidade específica.

4.    Direitos do titular de dados

A LGPD trouxe um controle maior para o titular dos dados, ou seja, para todos nós, cidadãos, pessoa natural a quem se refere as informações. Passamos a ter um novo poder, pois temos agora o direito à autodeterminação informativa. É um direito constitucional que se materializa através do que a LGPD prevê e ao dar esse novo poder nós temos novos direitos, que antes não eram assegurados ao cidadão como, por exemplo, de ter a confirmação e o acesso dos tratamentos de seus dados pessoais.

A LGPD é uma lei de direitos, mas é também de obrigações. De um lado o cidadão tem o direito de questionar, do outro lado o agente de tratamento passa a ter obrigação de dar respostas. É, sobretudo, uma lei de controle. O primeiro direito que a LGPD trouxe foi o direito de acesso, pois o cidadão pode exigir ter acesso aos seus dados pessoais ou a correção dos mesmos, ou seja, o direito de correção, pois os dados incorretos podem interferir na esfera de liberdade e direitos fundamentais.

Cíntia Rosa Pereira de Lima leciona que: “Além de receber a confirmação do tratamento de seus dados pessoais, o titular tem direito de acesso aos dados, que deve ser providenciado nos mesmos termos e prazo do direito de confirmação. Para tanto, o titular deverá fazer um requerimento expresso, devendo ser facilitado pelo agente, por exemplo, disponibilizando no seu site. (LIMA, 2020, p. 256).”

O direito de eliminação surge a partir do momento que a finalidade foi extinta, se a finalidade já foi cumprida o agente de tratamento tem o dever de eliminar os dados e encerrar o tratamento.

Há um direito nunca antes previsto: o direito de portabilidade de dados. O cidadão passa a ter o direito de exigir que os seus dados sejam deslocados de um controlador para outro e que as informações a seu respeito sejam deslocadas de forma segura e adequada.

Cíntia Rosa (2020, p. 271) ressalta que a lei brasileira não especifica o formato em que os dados devem ser transmitidos e nem a possibilidade de transmissão direta entre os agentes de tratamento de dados. Como ocorre quando o consumidor opta em portar seu chip de celular para outra operadora de telefonia móvel, por exemplo.

Vários outros direitos também estão previstos na LGPD. Se o cidadão fica ciente que uma instituição confirma que trata seus dados e, de alguma maneira entende que não seja legítima ou que o esteja afetando negativamente, o cidadão passa a ter o direito de se opor ao tratamento (direito de oposição), e a instituição passa a ter a obrigação de avaliar se de fato o tratamento deve seguir esse curso, se deve ser encerrado ou alterado. Conforme esclarece Bruno Ricardo Bioni: “Diferentemente da revogação do consentimento, que se apresenta como um direito potestativo e sem limitações, a priori estabelecidas, a LGPD condicionou o exercício do direito de oposição desde que haja uma violação a uma das suas normas. Uma primeira intepretação mais apressada levaria à conclusão de que o exercício desses dois direitos de objeção teria alcances distintos, já que o último não dependeria única e exclusivamente da vontade do titular em exercê-lo. (BIONI, 2020, p. 248).”

Se o tratamento é irregular ou se a finalidade já foi cumprida e a instituição ainda assim deseja ter os dados do titular, é obrigada a anonimizar os dados, surgindo o direito de anonimização dos dados.

Carvalho Dias (2016, p. 134), especificamente define anonimização de dados como um processo para mascarar ou remover informações sensíveis de um documento preservando seu formato original.

O cidadão tem o direito de saber que a instituição trata os seus dados de forma automatizada e que isso pode impactar os seus direitos fundamentais. Nasce então o que a LGPD chama de direito de revisão de decisões automatizadas, um direito muito utilizado na Europa e que aqui no Brasil será também utilizado largamente.

De nada adiantaria o cidadão possuir o direito de consentir se não tivesse o direito de revogação desse consentimento. A partir do momento que não se sentir seguro ou for constatada alguma irregularidade no tratamento dos dados, o titular pode revogar o seu consentimento.

Para Cláudia Lima Marques: “A LGPD sistematizou a proteção aos dados pessoais, estabelecendo direitos e princípios específicos, inaugurando um verdadeiro microssistema de proteção de dados pessoais, sem excluir direitos já assegurados em outras leis, como o CDC, em verdadeiro diálogo entre as fontes. (MARQUES, 2018, não paginado).”

Um dos pontos mais críticos da LGPD é exatamente o cumprimento e o atendimento dos direitos do titular. Como visto anteriormente, são previstos diversos direitos, praticamente nenhum deles é facilmente exercido pelos titulares e de cumprimento tranquilo ou simplificado pelo agente de tratamento. Todos os direitos previstos na LGPD deverão ser atendidos, cada um deles demanda uma complexidade própria para o exercício desse atendimento, são várias as medidas que devem ser tomadas, existem prazos legais para atendimento e não cumprir esses prazos implica infração à LGPD com consequências punitivas.

Um tratamento irregular pode ampliar a judicialização em vários níveis. Não somente indenizatórios, não somente pecuniários, mas ações judiciais que podem ser promovidas, por exemplo, para fazerem cessar o tratamento. O titular pode exigir uma obrigação para o agente de tratamento não mais tratar os dados, ou tratar os dados de acordo com outro critério. E não somente isso, uma ação judicial pode ser movida também para obter uma declaração do juiz no sentido de que aquele tratamento é irregular, trazendo consequências para o agente de tratamento também. (ALVES, 2020, não paginado).

O titular dos dados não está sozinho neste ambiente de medidas administrativas e judiciais. Na sociedade, o ordenamento jurídico assegura também a tutela dos direitos coletivos, ou seja, outros atores que, inclusive por força da LGPD, podem atuar na defesa dos interesses do titular, como por exemplo, associações representativas dos titulares, elas podem judicializar, ou mesmo questionar, procedimentos relacionados ao tratamento de dados pessoais que reputem serem ilegais ou irregulares. Além das associações, os Procons também estão habilitados, dentro de sua competência, no que diz respeito à sua relação de consumo. Há também outros atores tão importantes quanto esses já mencionados que são os órgãos do Ministério Público tanto Federal quanto Estaduais ou do Distrito Federal. Estão habilitados pela legislação vigente para atuar em defesa da regularidade e do cumprimento da legislação.

Por fim, caso seja constatado que o controlador não esteja tratando os dados da forma que a lei estabelece, a mesma assegura ao titular o direito de peticionar perante à ANPD sobre os problemas de tratamento detectados. Há a necessidade que o titular antes se direcione ao controlador ou agente de tratamento, se não conseguir solucionar, o direito de petição é assegurado na ANPD.

5.    Encarregado sobre o tratamento de dados pessoais – DPO

O DPO (Data Protection Officer), ou Encarregado de Dados, previsto na Lei Geral de Proteção de Dados, é o profissional que atua como ponte entre os controladores, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD), conforme o art. 5º, inciso VIII, da LGPD. Sua nomeação é obrigatória, todas as instituições devem possuir esse profissional.

Para Fabrício da Mota Alves: “É um dos atores mais importantes na proteção de dados. A nossa LGPD, apesar de toda a importância regulatória que foi atribuída ao encarregado da União Europeia, não trouxe o mesmo paralelo de relevância no Brasil, mas nem por isso o encarregado aqui não possua a mesma relevância que possui lá fora. O encarregado aqui, a própria definição já estabelece que é o canal de comunicação entre o titular de dados, o controlador ou agente de tratamento e entre a Autoridade Nacional de Proteção de Dados e o controlador ou operador. Muito mais do que um canal de comunicação, é também aquele responsável por orientar os funcionários, os fornecedores e os prestadores de serviços. Ele é o responsável por assegurar o cumprimento de proteção de dados pessoais dentro da instituição. Pode ser comparado a um auditor de proteção de dados. (ALVES, 2020, não paginado).”

Vários elementos são necessários para definir não somente quem vai ocupar o cargo, mas sobretudo quais são as suas atribuições. Infelizmente, a LGPD não trouxe todos esses elementos, ainda virão sob a forma de uma regulamentação da ANPD, mas se faz necessário as instituições já se pautarem nas melhores práticas internacionais. E elas já apontam que o encarregado tem que ser alguém com expertise e experiência em proteção de dados e regulação jurídica, não necessariamente um advogado ou pessoa formada em direito. É recomendável que o profissional detenha de conhecimentos de tecnologia e segurança da informação, porque afinal de contas, a LGPD é uma lei híbrida, possui elementos tanto jurídicos como de segurança e tecnologia da informação.

Para além de atribuições, para além de características pessoais, o encarregado também precisa estar dotado de alguns fundamentos para sua atuação. Vale ressaltar que na lei não há nada a respeito, mas nos fiamos na boa prática internacional, e ela recomenda que o encarregado necessita de uma boa estrutura de funcionamento, como ferramentas aptas e tempo suficiente. O encarregado não pode ser removido de suas atribuições, demitido ou exonerado em razão de suas atribuições. Ele tem que ter autonomia para realizar o seu trabalho.

6.    Regulamentação e fiscalização

No Brasil, há uma adesão maior à Lei quando há uma fiscalização com consequências. Foi previsto um regime próprio de fiscalização e punição, a ANPD -Autoridade Nacional de Proteção de Dados - uma autoridade pública, um órgão vinculado ao poder executivo, vinculado à presidência da república, uma autoridade sui generis no ordenamento jurídico nacional, pois não existe nada parecido com a ANPD no nosso sistema legal e sequer no sistema constitucional. O órgão possui 5 diretores, 23 conselheiros consultivos titulares e mais 23 conselheiros consultivos suplentes. Um órgão com 51 membros, fora o seu arcabouço de funcionários e servidores para que o seu funcionamento seja efetivo.

Conforme Patricia Peck Pinheiro: “Pode-se afirmar que a ANPD foi criada para trazer mais segurança e estabilidade para a aplicação da Lei Geral de Proteção de Dados. No caso específico do Brasil há uma previsão bem ampla de artigos da Lei que dependem de futura regulamentação por parte da Autoridade, logo caberá a ela executar as adequações necessárias para que a legislação tenha uma aderência maior com a realidade social e econômica. (PINHEIRO, 2020, p. 49)”

Há punições que são de competência exclusiva da ANPD. A LGPD prevê 9 (nove) penalidades que vão desde até uma simples advertência até a proibição das atividades de tratamento de dados pessoais. As punições serão aplicadas de acordo com critérios objetivos, pois todos tem o direito de saber que está sujeito à fiscalização, quem aplicará essa fiscalização e de que maneira a punição poderá incidir.

Pinheiro (2020, p. 43) afirma que um programa de gestão de dados pessoais bem implementado pode ajudar na redução das penas, na hipótese de ocorrência de um tipo de infração que enseje a aplicação de alguma penalidade.

As regras de punibilidade da LGPD estão prorrogadas para 1º de agosto de 2021, devido à pandemia do corona vírus o legislador optou por prorrogar as punições, dando maior tempo para que as entidades públicas e privadas pudessem buscar a conformidade e adequação à proteção de dados. Dessa maneira, o regime sancionatório está prorrogado. Porém as empresas devem permanecer cumprindo as exigências, pois ainda há a responsabilidade civil a cumprir.

Evidentemente, que por se tratar de um regime punitivo, alguns direitos devem ser assegurados também às empresas ou às pessoas físicas que tratam dados pessoais. Esse regime obedece às regras constitucionais do contraditório e da ampla defesa. Instaurada uma investigação ou diante do auto de infração haverá um devido processo legal com a possibilidade de defesa, produção de provas e investigação das acusações. Somente ao final desse processo poderá ser aplicada uma penalidade. (ALVES, 2020, não paginado).

No eixo da segurança jurídica, a LGPD instituiu a regra de transição e, sabiamente, previu a obrigação da Autoridade Nacional de Proteção de Dados de estabelecer regras de transição, ou seja, a adequação progressiva da base legada. Toda a base de dados constituída até a data da entrada em vigor da LGPD passará por adequação, porém de forma progressiva e segundo critérios que somente a ANPD vai decidir.

Conforme Fabrício da Mota Alves: “No centro de todo o sistema de proteção de dados está o titular. Ele possui um auxílio de uma autoridade, a Autoridade Nacional de Proteção de Dados – ANPD, ela é a autoridade central da fiscalização e da aplicação de penalidades por descumprimento da LGPD. Foi constituída com uma visão de ser autoridade técnica, pois a sociedade precisa de uma autoridade tecnicamente capacitada e com preponderância de entender e interpretar a legislação para explicar tudo que é preciso saber em relação à proteção de dados pessoais no Brasil. (ALVES, 2020, não paginado).”

Obviamente a lei foi inspirada em normativas estrangeiras e há jurisprudências de direito comparado, mas é a ANPD que tem o papel de estabelecer a palavra final e interpretação técnica sobre a LGPD.

7.    Conclusão

Portanto, a LGPD é uma lei complexa, mas muito bem estruturada. Possui elementos introdutórios, direitos, deveres, punição e fiscalização, bem como regras de transição. Tudo isso para garantir a eficácia do direito do cidadão, mas sobretudo o direito de os agentes de tratamento poderem continuar oferecendo seus serviços à sociedade.

É uma lei de amadurecimento, não somente para os negócios, como para os cidadãos. Quem ganha é a sociedade. A proteção de dados é fruto de amadurecimento, da evolução da sociedade, da evolução do homem. É uma conquista para todos, pois todos serão alcançados com os benefícios da proteção de dados. É um alinhamento com as expectativas internacionais, à medida que cresce o uso de tecnologias de processamento de dados, se tornando cada dia mais uma ferramenta dos nossos direitos e de nossas liberdades.

Para as instituições financeiras a LGPD significa maior controle sobre os dados pessoais de clientes, funcionários e de qualquer outra pessoa que tenha suas informações tratadas. Controle significa redução de riscos, mitigar os problemas, o que implica em redução de custos. A proteção de dados, para muito além de uma obrigação, é sobretudo uma vantagem competitiva e econômica.

Para o cidadão, que é o centro de todo o sistema de proteção de dados, significa controle sobre sua própria informação. Proteção de dados implica confiança e confiança implica em mais e melhores formas de utilização das informações.

8.    Referências

Assembleia Geral da ONU. "Declaração Universal dos Direitos Humanos". "Nações Unidas", 217 (III) A, 1948, Paris, art. 12, http://www.un.org/en/universal-declaration-human-rights/, acessado em 25/04/2021.

BIONI, Bruno Ricardo. Proteção de Dados Pessoais: a função e os limites do consentimento. 2ª ed. – Rio de Janeiro: Forense, 2020.

BRASIL, Lei Federal Nº 12.965, de 23 de abril de 2014. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm . Acesso em: novembro 2020. BRASIL.

BRASIL, Lei Federal Nº 13.709, de 14 de agosto de 2018. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm. Acesso em: novembro de 2020. BRASIL.

BRASIL. Constituição (1824) Constituição Política do Império do Brazil. Rio de Janeiro, 1824. Disponível em < http://www.planalto.gov.br/ccivil_03/Constituicao/Constitui%C3%A7ao24.htm>. Acessado em setembro de 2020.

BRASIL. Constituição Federal. Brasília, Senado Federal, 1988. Disponível em: <http://www.planalto.gov.br/ccivil_03/constituicao/constituicaocompilado.htm>. Acesso em: 25 de abril de 2021.

BRASIL. Decreto nº. 7.962, de 15 de março de 2013. Regulamenta a Lei nº 8.078, de 11 de setembro de 1990, para dispor sobre a contratação no comércio eletrônico. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2013/decreto/d7962.htm acesso em setembro de 2020.

BRASIL. Lei Complementar nº. 166, de 08 de abril de 2019. Altera a Lei Complementar nº 105, de 10 de janeiro de 2001, e a Lei nº 12.414, de 9 de junho de 2011, para dispor sobre os cadastros positivos de crédito e regular a responsabilidade civil dos operadores. Disponível em: http://www.planalto.gov.br/ccivil_03/leis/lcp/Lcp166.htm  acesso em setembro de 2020.

BRASIL. Lei nº. 10.406, de 10 de janeiro de 2002. Código Civil. Disponível em: http://www.planalto.gov.br/ccivil_03/leis/2002/l10406compilada.htm acesso em setembro de 2020.

BRASIL. Lei nº. 12.414, de 09 de junho de 2011. Disciplina a formação e consulta a bancos de dados com informações de adimplemento, de pessoas naturais ou de pessoas jurídicas, para formação de histórico de crédito. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12414.htm acesso em setembro de 2020.

BRASIL. Lei nº. 12.737, de 30 de novembro de 2012. Dispõe sobre a tipificação criminal de delitos informáticos; altera o Decreto-Lei nº 2.848, de 7 de dezembro de 1940 - Código Penal; e dá outras providências. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2012/lei/l12737.htm acesso em setembro de 2020.

BRASIL. Lei nº. 8.078, de 11 de setembro de 1990. Código de Defesa do Consumidor. Dispõe sobre a proteção do consumidor e dá outras providências. Disponível em: http://www.planalto.gov.br/ccivil_03/Leis/L8078.htm acesso em setembro de 2020.

BRASIL. Lei nº. 9.507, de 12 de novembro de 1997. Regula o direito de acesso a informações e disciplina o rito processual do habeas data. Disponível em: http://www.planalto.gov.br/ccivil_03/leis/l9507.htm   acesso em setembro de 2020.

BRASIL. Lei Federal 9.296, de 24 de julho de 1996. Regulamenta o inciso XII, parte final, do art. 5° da Constituição Federal Brasília: Senado Federal, 2014. Disponível em http://www.planalto.gov.br/ccivil_03/leis/l9296.htm acesso em outubro de 2020.

Comentários à lei geral de proteção de dados : Lei n. 13.709/2018, com alteração da lei n. 13.853/2019 / coordenadora Cíntia Rosa Pereira de Lima. – São Paulo : Almedina, 2020. Vários Autores.

DAU, GABRIEL. DPO: Conheça a mais nova profissão do mercado de trabalho. Jornal contábil, 26 de janeiro de 2021. Disponível em https://www.jornalcontabil.com.br/dpo-conheca-a-mais-nova-profissao-do-mercado-de-trabalho/ acesso em 02/04/2021.

DIAS, F. M. C. Multilingual Automated Text Anonymization. Tese de Doutorado, apresentada à Universidade Técnica de Lisboa, 2016, 134p.

FAUSTINO, ANDRE. A Proteção de Dados Pessoais no Brasil: Breve histórico do direito comparado até a atual realidade brasileira. Revista Âmbito Jurídico, 01 de Novembro de 2016. Disponível em https://ambitojuridico.com.br/edicoes/revista-154/a-protecao-de-dados-pessoais-no-brasil-breve-historico-do-direito-comparado-ate-a-atual-realidade-brasileira/ acesso em setembro/2020.

Garcia, Lara Rocha Lei Geral de Proteção de Dados Pessoais (LGPD) : guia de implantação / Lara Rocha Garcia ; Edson Aguilera-Fernandes ; Rafael Augusto Moreno Gonçalves ; Marcos Ribeiro Pereira ‐Barretto. – São Paulo : Blucher, 2020.

Lei Geral de Proteção de Dados. https://www.lgpdbrasil.com.br/ acesso em agosto/setembro/outubro/novembro - 2020;

MACIEL, Rafael Fernandes. Manual Prático sobre a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018). RM Digital Education. 1ª edição. Goiânia – GO. 2019.

MARQUES, Cláudia Lima. Diálogo das Fontes: do conflito à coordenação de normas do direito brasileiro. 2a Tiragem. São Paulo: Revista dos Tribunais, 2012.

PEREIRA, Caio Mário da Silva. Responsabilidade civil. 2. ed. Rio de Janeiro: Forense, 1991, pp. 1216.

Pinheiro, Patricia Peck. Proteção de dados pessoais: comentários à Lei n. 13.709/2018 (LGPD) / Patricia Peck Pinheiro – 2. ed. – São Paulo : Saraiva Educação, 2020.

SOARES, EDILEUZA. Bancos se preparam para cumprir lei de proteção de dados. FEBRABAN, 30 de maio de 2019. Disponível em  https://noomis.febraban.org.br/temas/regulacao/bancos-se-preparam-para-cumprir-lei-de-protecao-de-dados acesso em novembro/2020.