CONSIDERAÇÕES SOBRE A NOVA LEI EUROPEIA DE PROTEÇÃO DE DADOS E SEUS IMPACTOS NO BRASIL

No próximo dia 25 de maio, entrará em vigor o Regulamento Geral de Proteção de Dados, também conhecido como “GDPR” (General Data Protection Regulation). Com o início da sua vigência, o processamento de dados pessoais de pessoas naturais passa a ser motivo de atenção e adaptação mundo afora. Neste sentido, o objetivo do presente trabalho é fornecer, de forma prática e objetiva, uma visão geral das novas regras trazidas pelo GDPR, em atenção às regras atualmente existentes na legislação brasileira, e as suas implicações para o Brasil.

TERRITORIALIDADE DO GDPR

Para que seja passível de sua aplicação, basta que o processamento de dados pessoais se dê em estabelecimento situado no território europeu. Todavia, o GDPR será igualmente aplicado a agentes localizados fora da Europa sempre que (i) ocorrer a oferta de bens e serviços na União Europeia, ou (ii) no caso de monitoramento de comportamento de titulares de dados europeus. Daí a necessidade de atenção das empresas brasileiras sobre a possibilidade de aplicação ou não deste regulamento em suas atividades.

Ainda há, no entanto, muitas questões pendentes no que diz respeito ao alcance do GDPR, inclusive quanto à oferta de serviços e produtos para pessoas jurídicas e não para indivíduos. Independente disso, já é possível verificar que muitas empresas brasileiras se enquadram neste regulamento. Em outros casos, seria preciso um exame mais detalhado de suas atividades para determinar a aplicação da legislação europeia ou evitá-la com uma eventual blindagem técnica, jurídica e de marketing.

(i) Oferta de Serviços: As empresas que diretamente direcionam seus serviços para cidadãos europeus estarão sujeitas ao GDPR. Há, contudo, dúvidas sobre como caracterizar este direcionamento. Por exemplo, o mero acesso a um website brasileiro por um cidadão europeu, sem que tenha existido o direcionamento dos serviços a esse estrangeiro, não deveria sujeitar a empresa ao GDPR. A questão de venda na moeda ou em língua pertencente à União Europeia também será relevante para a análise da aplicação do GDPR. Assim, hotéis, empresas de turismo, seguradoras, hospitais, empresas de marketplace (vendas online), empresas de cartões de fidelidade ou quaisquer outras empresas que direcionam seus serviços à União Europeia podem estar enquadrados na obrigatoriedade de cumprimento de seu regulamento, sempre dependendo de uma análise concreta do caso.

(ii) Monitoramento de dados: As empresas que monitoram o comportamento de titulares de dados na Comunidade Europeia também devem estar sujeitas ao GDPR, como, por exemplo, no caso de empresas que realizam uma política de rastreamento de cookies e outros aplicativos que monitoram a navegação dos cidadãos na internet. No entanto, o uso de cookies que não utilizam, rastreiam ou coletam dados pessoais não deve estar, a princípio, sujeito ao GDPR. De toda forma, ainda não está claro o quão detalhado o monitoramento precisa ser efetuado para sujeitar a empresa ao GDPR.

Feitas estas considerações, é importante discorrer brevemente sobre a regulação atualmente existente no Brasil para que possamos efetuar um breve comparado de cada legislação.

 LEGISLAÇÃO BRASILEIRA

O Brasil não possui uma legislação específica sobre proteção de dados, sendo que a maioria das disposições envolvendo este tema está regulada pelos princípios gerais e disposições previstas na Constituição Federal, no Código Civil e no Código do Consumidor. Além disso, o Marco Civil da Internet (Lei Federal nº 12.965/2014) e seu Decreto (Decreto nº 8.771/2016) estabelecem princípios gerais para uso da internet, inclusive no que concerne a coleta, armazenamento, guarda e tratamento de registros de dados pessoais online. Nota-se que o princípio basilar das disposições esparsas sobre esse tema está na necessidade de consentimento do titular dos dados pessoas para seu tratamento.

Em meio a esse avanço legislativo internacional, a pressão por uma lei específica sobre proteção de dados vem aumentando a cada dia, principalmente em virtude de escândalos atuais envolvendo vazamento de dados, como o caso do Facebook e Cambridge Analytics e a crescente conscientização da população acerca da necessidade de uma tutela de sua privacidade em meio digital. Diferentes projetos de lei vêm sendo discutidos no Congresso Nacional, em uma tentativa de unificar os preceitos já existentes na legislação pátria, os tornando mais modernos e harmônicos com os entendimentos já firmados em legislações estrangeiras, criando um arcabouço jurídico mais completo para atender as novas demandas trazidas pelos avanços tecnológicos.

A seguir, serão elencadas as questões principais do GDPR e uma breve comparação com a legislação brasileira existente sobre o tema, conforme aplicável.

DADOS PESSOAIS E DADOS SENSÍVEIS

O GDPR define “dados pessoais” como qualquer informação relacionada a uma pessoa natural identificada ou identificável, abarcando, assim, diversos tipos de dados, tais como dados de localização, identificadores eletrônicos, elementos específicos da identidade física, fisiológica, genética, mental, econômica, cultural ou social de uma pessoa singular.

No Brasil, a definição de “dados pessoais” encontra-se em consonância com o GDPR, sendo definido no Decreto que regulamenta o Marco Civil da Internet como “dado relacionado à pessoa natural identificada ou identificável, inclusive números identificativos, dados locacionais ou identificadores eletrônicos, quando estes estiverem relacionados a uma pessoa”.

Particular atenção também foi dada aos dados sensíveis pelo GDPR, como dados relacionados à sua origem racial ou étnica, suas as opiniões políticas, convicções religiosas ou filosóficas, filiações sindicais, relativos à sua vida ou orientação sexual, ou seus dados genéticos, relativos à saúde ou biométricos, desde que de identificação inequívoca. Para essas informações, o processamento é expressamente vedado, salvo quando verificado casos excepcionais previstos nas leis, como através da coleta do consentimento explícito do indivíduo, bem como se o tratamento dessas informações for necessário para o cumprimento de obrigações e exercício de direitos de legislação trabalhista, de segurança e proteção social, ou, ainda, para garantir a proteção de interesses vitais do sujeito ou de outro indivíduo, quando esse estiver incapacitado de fornecer seu consentimento.

No Brasil, há uma menção expressa sobre a proibição de anotação de dados sensíveis pelos bancos de dados, conforme a Lei do Crédito (Lei Federal nº 12.414/2011), que considera informações sensíveis aquelas pertinentes à origem social e étnica, à saúde, à informação genética, à orientação sexual e às convicções políticas, religiosas e filosóficas. No entanto, ainda não há uma disposição específica sobre a proteção dos dados sensíveis de cada indivíduo.

CONTROLADOR E PROCESSADOR

O GDPR atenta-se em estabelecer importantes conceitos aplicáveis ao tema, tais como os da figura do “controlador”, encarregado de determinar as finalidades e os meios para o tratamento dos dados. Importante ressaltar a possibilidade de cumulação deste cargo entre dois ou mais responsáveis (“joint controllers”), desde que as obrigações de cada um sejam determinadas especificadamente por contrato, ficando ambos aptos a responder quando do exercício de qualquer direito de um indivíduo. Já o “processador” é a figura contratada pelo controlador para exercer a atividade do tratamento, a partir da apresentação de garantias suficientes para sua execução, e desde que regulado por um contrato ou ato normativo que vincule as partes, estabelecendo suas obrigações e direitos, o objeto, a duração, a natureza e finalidade do tratamento, assim como os tipos de dados pessoais e as categorias dos titulares dos dados envolvidos.

Estes conceitos de “processador” e “controlador” ainda não estão definidos na legislação brasileira. Contudo, o Decreto do Marco Civil da Internet buscou definir tratamento de dados pessoais como “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”.

PRINCÍPIOS DO GDPR

O GDPR busca, através de um arcabouço legal robusto, tutelar a preservação da privacidade e da garantia da proteção às pessoas naturais em relação ao processamento de suas informações como um direito fundamental.

Dentre os princípios trazidos, é estabelecida a obrigação de oferecer um tratamento de dados lícito, justo e transparente (“princípio da licitude, lealdade e transparência”), coletados para finalidades determinadas, explícitas e legítimas (“purpose limitation”), que sejam adequados, pertinentes e limitados ao necessário à finalidade a que se destinam (“data minimization”) e armazenados apenas durante o período necessário (“storage limitation”).

No Brasil, estes princípios não são claramente definidos, mas é possível notar que o Marco Civil da Internet determina que os dados pessoais somente poderão ser utilizados para finalidades que justifiquem sua coleta, que não sejam vedadas pela legislação e que estejam especificadas nos respectivos contratos. Além disso, o Código de Defesa do Consumidor dispõe que o consumidor, sempre que encontrar inexatidão nos seus dados e cadastros, poderá exigir sua imediata correção.

O GDPR, por sua vez, inova ao trazer direitos pioneiros, tal como a portabilidade dos dados pessoais, através do qual é possível requer a migração de dados de um controlador ao outro, por meio de formato estruturado, de uso corrente e de leitura automática. Igualmente é garantido ao indivíduo o direito de oposição ao tratamento de seus dados e de decisões individualizadas automatizadas. Assim, o titular dos dados poderá, a qualquer tempo, exercer o direito de se opor, inclusive para fins de profiling e marketing direto. Nesse mesmo sentido, em relação ao processamento automatizado para avaliação de preferências, interesses e previsão comportamental de uma pessoa (“tomada de decisão individual automatizada” e profiling), o GDPR proíbe o seu uso quando produzir efeitos jurídicos ou afetar significamente o indivíduo, tal como no evento de uma recusa automática de um pedido de crédito por via eletrônica ou de práticas de recrutamento eletrônico sem qualquer intervenção humana.

Destacados também se encontram o direito a requerer a retificação dos dados pessoais e a possibilidade de ser requerida a exclusão definitiva das informações – o chamado direito ao esquecimento. Tal garantia deve ser observada sem demora pelo controlador, quando da observância de cenários indicados pelo GDPR. É o que ocorre, por exemplo, na hipótese dos dados pessoais não serem mais necessários em relação ao propósito pelo qual haviam sido coletados, pela revogação do consentimento do seu titular ou, ainda, no caso de objeção ao processamento, conforme também garantido pela lei. No Brasil, ao usuário é concedido o direito de exclusão definitiva dos dados pessoais, a seu requerimento, ao término da relação entre as partes, ressalvadas as hipóteses de guarda obrigatória de registros previstas no Marco Civil da Internet. Ocorre que o direito de esquecimento não é expressamente regulado por lei, sendo reconhecido doutrinariamente, a partir de interpretação do Código Civil, como um dos direitos de personalidade do indivíduo. Na jurisprudência, sua aplicação ocorreu pela primeira vez em 2013 pelo Superior Tribunal de Justiça e, desde então, diversos casos esparsos já foram decididos na justiça sobre o tema, tanto a favor como contra a sua aplicação. De todo modo, ainda que sem a sua clara determinação em lei, o Brasil é o segundo país com mais demanda ao Google por remoção de conteúdo da Internet, superando países mais populosos e com maiores índices de conectividade.

 BASE LEGAL PARA COLETA DE DADOS PESSOAIS

Importante atentar sobre o desenvolvido aspecto da licitude para o processamento de dados. O GDPR avança novamente ao prever diversos fundamentos legais que embasam o tratamento de dados pessoais (o chamado “legal basis”). Diferentemente da legislação brasileira, a qual pauta-se majoritariamente no fornecimento do consentimento do indivíduo para a coleta e tratamento de suas informações, o GDPR também prevê outras possibilidades, tal como o processamento se pautar pela própria necessidade em virtude da execução de um contrato da qual se faça parte.

O tratamento de dados pessoais também será considerado lícito quando necessário para o cumprimento de uma obrigação jurídica do controlador ou em virtude de interesses legítimos por esse ou terceiros (“legitimate interest”), desde que não violem interesses ou direitos fundamentais no individuo (como no caso de menores). Na hipótese de fundamentar o processamento pelo legítimo interesse, devem ser levadas em consideração as expectativas razoáveis do titular dos dados pessoais no momento da coleta de suas informações e sua relação com o controlador. Nesse sentido, o processamento de dados para fins de marketing poderia ser considerado como um legítimo interesse do controlador caso esse exerça atividades de comércio, por exemplo, e, para fins de compliance, seria recomendável a oferta do mecanismo de opt-out para salvaguardar os direitos do indivíduo – tal como orientado no contexto brasileiro. Por fim, a lei também vislumbra a possibilidade de um tratamento legítimo em razão da defesa de interesses vitais do indivíduo ou de outrem, bem como se necessário para o exercício de funções de interesse público.

Em que pese às determinações acima, em cenários no qual o tratamento caminhe para outras finalidades das quais os dados foram inicialmente coletados ou sem que tenha sido obtido o consentimento do titular (“further processing”), o controlador deverá verificar a compatibilidade deste novo escopo com a coleta inicial, analisando a ligação entre essas finalidades, o contexto para o novo uso, a natureza dos dados tratados, possíveis consequências para esse uso posterior e a possibilidade de aplicação de salvaguardas, tais como encriptação e pseudonimização.

CONSENTIMENTO

Não obstante o acima exposto, o consentimento possui posição de destaque no GDPR, o qual determina aspectos fundamentais para sua coleta e garantia de validade. Segundo o Artigo 7º, é condição fundamental que o consentimento seja fornecido livremente e, caso tenha sido obtido em meio a outros assuntos, o consentimento deverá ser obtido através de uma declaração escrita, a partir de um pedido distinto dos demais, apresentado de modo inteligível, de fácil acesso e de linguagem clara e simples. Assim, a sua validade é condicionada à obtenção livre, específica, informada e inequívoca da vontade do titular dos dados pessoais, através de uma declaração ou uma clara ação de afirmação. Nesse sentido, o silêncio, o uso de caixas de coleta de consentimento já preenchida (“pre-ticked boxes”) ou a inatividade do usuário não são suficientes para caracterizar válido o consentimento.

No Brasil, o Marco Civil da Internet assegura ao cidadão o direito de consentimento expresso sobre a coleta, uso, armazenamento e tratamento de dados pessoais, que deverá ocorrer de forma destacada das demais cláusulas contratuais.

Também inova o GDRP ao garantir a esse indivíduo o direito de revogar o consentimento fornecido a qualquer momento. Tal direito deve ser obrigatoriamente informado ao sujeito e a sua execução deverá ser realizada de forma igualmente simples quanto o meio de obtenção do consentimento.

PSEUDONIMIZAÇÃO E ANONIMIZAÇÃO

É possível também perceber que o conceito de pseudonimização atua um importante papel no GDPR e, em especial, em relação à análise de big data. Essa medida, entendida como o processamento de dados pessoais que não são mais passíveis de atribuição a um determinado indivíduo sem o uso de informações adicionais (desde que essas sejam mantidas em separado e sujeitas às medidas técnicas e organizacionais que assegurem a sua preservação), pode diminuir os riscos associados às obrigações previstas pelo GDPR, ao garantir um nível maior de segurança ao tratamento. Ainda, constitui uma interessante medida para atender aos princípios de “privacy by design” e “privacy by default”, que estabelecem, de uma forma geral, a integração de medidas técnicas de segurança para proteção dos dados e da implementação de salvaguardas por default para limitar o acesso aos dados a um número restrito de pessoas. Nesse mesmo viés, a utilização de técnicas como anonimização também se fazem relevantes, uma vez que, não sendo mais possível a associação de dados com um indivíduo específico (por exemplo, como no caso de análise de big data restrita a dados anonimizados), as normativas de privacidade não serão aplicáveis. No Brasil, tais conceitos não se encontram estabelecidos expressamente em nossa legislação.

 AUTORIDADE SUPERVISORA E DPO

O GDPR prevê a figura da Autoridade Supervisora, uma autoridade pública independente, responsável pela fiscalização da aplicação e cumprimento do Regulamento. Além desse instituto, outro importante personagem designado pelo GDPR é o Oficial de Proteção de Dados (Data Protection Officer, ou “DPO”), encarregado a garantir a proteção dos dados pessoais de uma empresa ou de seu grupo econômico. Sua função será necessária sempre que o tratamento for efetuado por uma autoridade ou um organismo público, quando as atividades principais do controlador ou processador for o tratamento de dados que, devido à sua natureza, âmbito e/ou finalidade, exijam um controle regular e sistemático, e, por fim, quando as atividades principais do controlador ou processador consistam em operações de tratamento em grande escala de categorias especiais de dados ou dados pessoais relacionados com condenações penais e infrações. Esse Oficial deverá ser designado com base nas suas qualificações profissionais e, em especial, com base nos seus conhecimentos especializados em direito e know-how em proteção de dados, devendo exercer as suas funções com base em um contrato de prestação de serviços, devidamente comunicado à Autoridade Supervisora.

A figura da Autoridade Supervisora e do DPO não se encontram previstos na legislação brasileira atualmente. Essa lacuna estrutural deixada pela inexistência de um órgão centralizador e fiscalizador no Brasil, inclusive, segue como um dos principais pontos de atenção nos debates dos projetos de lei sobre proteção de dados.

 DPIA

Outra importante inovação imposta pelo GDPR, também não prevista na legislação brasileira, é a condução de uma análise prévia de impacto (Data Protection Impact Assessment, ou “DPIA”), elaborada com a ajuda e monitoramento do DPO, nos cenários em que o processamento desejado seja passível de resultar alto risco aos direitos e garantias das pessoas naturais, tal como no caso da utilização de novas tecnologias.

O GDPR prevê a publicação de uma lista específica que estabelece quais os tipos de processamento estarão sujeitos à condução do DPIA. Nesse ínterim, o GDPR já estabelece determinados cenários que demandam a realização do DPIA, quais sejam: (i) no caso de avaliação sistemática e completa por meio automatizado e que impliquem efeitos jurídicos ou impactos significativos no titular dos dados; (ii) tratamento em grande escala de categorias especiais de dados ou de dados relacionados com condenações penais e infrações; e (iii) controle sistemático de zonas públicas acessíveis em grande escala. Nesse contexto, relevante o acompanhamento das discussões e da implementação desta matéria para a consolidação dos entendimentos sobre a necessidade da condução do DPIA pelos controladores e processadores de informações pessoais.

 TRANSFERÊNCIA DE DADOS

Em relação à transferência de dados pessoais para tratamento em outro país (denominados como “third countries”) ou para uma organização internacional, o GDPR prevê disposições para sua realização, em adição ao cumprimento das demais provisões estabelecidas pelo Regulamento, de modo a resguardar os níveis de proteção adequados já atingidos pela União Europeia.

Nesse caso, decisões de adequação (“adequacy decisions”) já foram emitidas em relação a determinados países e organizações, atualmente classificados como aptos a receber dados pessoais e garantir sua proteção, sem a necessidade de ser requisitada posteriormente uma nova autorização específica pela Autoridade Supervisora competente para a transferência desejada. É o caso, por exemplo, da Suíça, Uruguai, Argentina, Israel, Nova Zelândia, entre outros países. Outras salvaguardas também são previstas para dispensar a necessidade da obtenção da autorização, tal como a adoção de regras vinculativas às empresas (“Binding Corporate Rules”) ou a adoção de cláusulas padrões de proteção de dados adotadas pela Comissão Europeia. Ademais, o GDPR prevê derrogações específicas aplicáveis na falta de decisões de adequação ou das salvaguardas mencionadas, como no caso da obtenção do consentimento explícito do titular dos dados para a transferência, mediante a sua ciência sobre os possíveis riscos, bem como na eventualidade da transferência ser necessária para a celebração ou execução de um contrato de interesse do titular, dentre outros.

SEGURANÇA E VAZAMENTO DE DADOS

No decorrer de seu texto, verifica-se a relevância da temática da segurança destinada aos dados pessoais pelo GDPR, eis que de suma importância para a preservação da intimidade da pessoa natural. O regulamento prevê artigos relacionados ao uso de medidas técnicas e operacionais adequados, como a encriptação e pseudonimização, que visem assegurar um nível de segurança adequado ao tratamento de dados pessoais. A capacidade para assegurar a confidencialidade, integridade, disponibilidade e resiliência permanentes aos sistemas utilizados, bem como a adoção de um processo para avaliar regularmente a eficácia das medidas utilizadas são importantes medidas trazidas pela normativa. Nesta seara, quando da ocorrência de uma violação ou vazamento dos dados pessoais que resultem riscos aos seus titulares, determina o GDPR que seja notificada a Autoridade Supervisora em até 72 horas, e, quando resultar em alto risco aos direitos e liberdades dos indivíduos, a comunicação também deverá ser fornecida diretamente aos titulares dos dados pessoais.

Já no Brasil, não há qualquer obrigação legal de notificação no caso de vazamento de dados pessoais, mas tão somente diretrizes a serem seguidas, sem força legal, conforme recomendações disponibilizadas pelo Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (“Cert.br”), mantido pelo NIC.br, do Comitê Gestor da Internet. Com relação à segurança, o Decreto regulamentador do Marco Civil dispõe sobre a necessidade de se observar as seguintes diretrizes sobre padrões de segurança: controle estrito sobre o acesso aos dados; a previsão de mecanismos de autenticação de acesso aos registros; criação de inventário detalhado dos acessos aos registros de conexão e de acesso a aplicações; e uso de soluções de gestão dos registros por meio de técnicas que garantam a inviolabilidade dos dados, como encriptação ou medidas de proteção equivalentes.

MULTAS

De acordo com o GDPR, a aplicação de multas administrativas pode advir como consequência ao não cumprimento das normas e dos princípios determinados do Regulamento. Conforme estabelecido no Artigo 83, a violação de determinadas disposições sujeita ao pagamento de multas de €10.000.000 a €20.000.00 ou de 2% a 4% do faturamento anual global da empresa, sendo aplicável o que for maior. Para aplicação dessa multa, o mesmo artigo prevê a necessidade de ponderação pelas Autoridades Supervisoras, que deverão se atentar a determinadas condições do caso específico, tal como a natureza e a gravidade da infração, a intenção ou negligência dos responsáveis, ou, ainda, as ações tomadas para cessar a infração, dentre outros.

Paralelamente no Brasil, o Marco Civil da Internet prevê, sem prejuízo das sanções cíveis, criminais ou administrativas aplicáveis, sanções que variam, desde de advertência, multa de 10% do faturamento do grupo econômico no Brasil, até a suspensão ou proibição do exercício das atividades no Brasil, aplicáveis isolada ou cumulativamente. Tais sanções são também aplicáveis a empresas estrangeiras, respondendo sua filial, sucursal, escritório ou estabelecimento situado no território brasileiro solidariamente pelo pagamento da multa cabível.

Com relação às multas, não está bem delineado como seria a aplicação de eventual sanção aplicada pelas autoridades competentes a uma empresa estrangeira, fora da União Europeia. De qualquer forma, o GDPR estabelece que o controlador ou o processador deve designar um representante na União Europeia, salvo se o processamento for ocasional, não incluir processamento, em uma larga escala, de categorias especiais de dados pessoais ou processamento de dados pessoais relacionado a ofensas criminais e caso seja improvável que se resulte em risco nos direitos e liberdades das pessoas naturais.

CONCLUSÃO

Como visto nestas considerações iniciais sobre o novo regulamento europeu de proteção de dados pessoais, diversas inovações deverão ser incorporadas e adequadas ao tradicional modus operandi aplicado aos negócios.

Em meio ao exponencial desenvolvimento de novas tecnologias e da crescente utilização de dados pessoais por diversos setores, o risco de exposição da intimidade dos indivíduos deve ser ao máximo minimizado, tanto como pela preservação deste direito fundamental quanto pela contensão de riscos pelas empresas.

O Brasil, a vagarosos passos, ainda caminha para a promulgação de sua própria legislação aplicável ao tema, a partir do debate de diferentes projetos de lei na Câmara e no Senado. Assim, neste cenário globalizado e de constante troca de informações, é imprescindível estar atento aos novos paradigmas trazidos pela GDPR, o qual serão certamente tomados como base para o desenvolvimento e aperfeiçoamento deste campo do direito.

AUTORES DO ARTIGO:

Paula Mena Barreto Sócia T: +55 21 3262-3028 E: paula.menabarreto@cmalaw.com

Manoela Esteves Associada da área de P.I e Proteção de Dados T: +55 21 3262 3042 E: manoela.esteves@cmalaw.com