*Por Selma Carloto, autora do livro “Compliance Trabalhista”, da editora LTR, e professora de pós-graduação e MBA, com doutorado em Direito do Trabalho
A Lei 13.709/2018, denominada Lei Geral de Proteção de Dados, foi inspirada no Regulamento (UE) 2016/679 do Parlamento Europeu de 27 de abril de 2016. O General Data Processing Regulation é um regulamento do direito europeu, que entrou em vigor no dia 25 de maio de 2018, sobre privacidade e proteção de dados pessoais e que é aplicável a todos os indivíduos da União Europeia e empresas que operem no Espaço Econômico Europeu, independente do país de origem e revogou a Diretiva 95/46/CE.
A Lei Geral de Proteção de Dados tem como fundamento a tutela aos direitos fundamentais de liberdade e de privacidade, ao livre desenvolvimento da personalidade da pessoa natural e aos direitos humanos, nos termos dos artigos 1º e 2º e é uma lei principiológica.
A principal preocupação da nossa legislação brasileira, assim como do regulamento europeu, é a proteção da privacidade das pessoas, dos titulares de dados.
Na era da Big Data e com um ambiente de globalização, o qual mitiga as fronteiras físicas, trazendo cada vez mais vantagens para o comércio eletrônico e com uma economia totalmente baseada na internet, cada vez mais dependente de dados, o escopo da proteção de dados pessoais é transformar a Big Data em Small Data, onde há um maior cuidado no tratamento.
O campo por excelência de aplicação da Lei Geral de Proteção de Dados ocorre nas relações de consumo, mas também se aplica às relações jurídicas em geral, sempre que há tratamento de dados pessoais e dados pessoais sensíveis, inclusive dos trabalhadores, nas relações de trabalho.
A Lei 13709/2019 não tratou de forma expressa, em seus dispositivos, as relações de trabalho, diferente do Regulamento Geral de Proteção de Dados da União Europeia, que traz norma expressa na nota inicial 13, com derrogação para as organizações com menos de 250 trabalhadores, relativamente à conservação do registro de atividades e no artigo 30, número 5, salvo se o tratamento implicar risco para os direitos e liberdades do titular dos dados, para dados pessoais sensíveis e tratamento de dados pessoais relacionados com condenações penais e infrações.
Ainda o artigo 88 do regulamento europeu foi destinado especificamente às relações laborais e autoriza que as convenções coletivas de trabalho tragam regras relativas ao tratamento para garantir a defesa dos direitos e liberdades, no que diz respeito ao tratamento de dados pessoais dos trabalhadores no contexto laboral, o que infelizmente não foi repetido na nossa Lei Geral de Proteção de Dados.
A Lei Geral de Proteção de Dados, Lei 13709/2018, tem como princípio basilar o da não discriminação, nos termos do artigo 6, inciso IX, de forma expressa e ao diferenciar os dados pessoais dos dados pessoais sensíveis, que são os de maior potencial discriminatório.
A Lei Geral de Proteção de Dados traz as hipóteses de tratamento dos dados pessoais no artigo 7º. O consentimento é sempre a primeira hipótese ensejadora de tratamento.
O consentimento, nos termos do artigo 5º, inciso XII, da Lei Geral de Proteção de Dados, consiste na manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada. O Grupo de Trabalho do Artigo 29.º traz orientações relativas ao consentimento no regulamento da União Europeia 2016/679 e tem este nome porque este grupo foi criado pela revogada Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, tendo em conta os artigos 29.º e 30.º dessa diretiva. Este grupo de trabalho foi instituído ao abrigo do artigo 29º. da Diretiva 95/46/CE. Trata-se de um órgão consultivo europeu, independente, em matéria de proteção de dados e privacidade.
O Grupo de trabalho do Artigo 29º orienta que a manifestação inequívoca exige, por parte do titular de dados, uma declaração ou um ato positivo inequívoco, o que significa que o titular deve agir de forma deliberada e possibilita que o consentimento seja obtido de forma escrita ou oral (gravada) ou mesmo no formato eletrônico.
Uma sugestão do grupo de estudos seria uma carta ou uma mensagem redigida pelo titular dos dados, de correio eletrônico, por e-mail, ao responsável pelo tratamento, explicando exatamente com o que concorda, mas estas podem ter vários formatos e dimensões, como a declaração oral gravada, mesmo por whatsapp, ou qualquer outra forma criativa. O silêncio ou a inatividade da parte do titular dos dados, bem como a mera utilização de um serviço, não podem ser encarados como manifestação ativa de escolha.
O artigo 4.º, número 11, do Regulamento Geral de Proteção de Dados da União Europeia estabelece que o consentimento do titular dos dados se traduz em uma manifestação de vontade livre, específica, informada e explícita, por meio da qual o titular dos dados aceita, por declaração, ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento. O capítulo 3.1.1 da orientação do grupo de trabalho, criado pelo artigo 29º. da Diretiva 95/46/CE, trata do desiquilíbrio de poder, incluindo as relações de trabalho. O GT29 indica que também há desequilíbrio de poder quando falamos de autoridades públicas.
O consentimento deve sempre ser solicitado sem vícios, de forma inequívoca, clara, livre e específica, para fins determinados e de forma “granularizada”, colhido de grão em grão. A obtenção do consentimento deve ser feita de forma explícita, numa linguagem clara e simples, inclusive na forma eletrônica e por check mark. O Brasil, seguindo o modelo europeu, quanto à necessidade de autorização para a coleta de dados e à política de consentimento, se utiliza, em regra, do sistema opt-in.
Ainda, dentro das hipóteses ensejadoras de tratamento e como exceção à regra do consentimento, temos o legítimo interesse, o qual carece de uma definição clara e precisa. Esta hipótese vem acompanhada de limites relativos aos interesses ou direitos e liberdades fundamentais e não pode ser uma “porta aberta” para qualquer tipo de tratamento de dados, devendo ser analisada de forma cautelosa.
A Grupo de Estudos do Artigo 29 entende ainda que deverá ser feita uma análise pelo responsável pelo tratamento dos dados entre os direitos fundamentais e o legítimo interesse, para determinar quais dados que podem ou não ser utilizados licitamente e sem um consentimento para o fim ao qual se destina.
O artigo 7º da Lei 13.709 de 2018, traz as hipóteses de tratamento de dados pessoais e o artigo 11, da presente lei, traz as hipóteses de tratamento de dados pessoais sensíveis, sendo também exceção ao consentimento, entre outras, o cumprimento de obrigação legal. O Regulamento europeu trouxe o conceito do privacy by design e privacy by default, que foi abraçado por nossa legislação. O primeiro tem destaque na proteção do titular dos dados em toda arquitetura do negócio, em todos projetos desenvolvidos e o segundo traz a ideia que o direito e a tecnologia devem andar juntos, que um produto ou serviço seja lançado ao público com as mais seguras configurações de privacidade.
O descumprimento e falta de adequação às normas, principalmente no desrespeito aos direitos humanos e fundamentais no tratamento de dados pessoais, traz elevadas sanções administrativas e que podem alcançar o valor de 50 milhões de reais por infração, nos termos do artigo 52 da legislação brasileira de proteção de dados. A autoridade nacional analisará o caso concreto e tomará as medidas de acordo com o tipo e gravidade da lesão aos dados pessoais e levará em conta sempre as medidas que foram adotadas na tentativa de mitigar os efeitos dos incidentes ocorridos, sendo importante a elaboração de um relatório de impacto à proteção de dados pessoais. As boas práticas e governança também integram os critérios para dosimetria das sanções.
A Lei Geral de Proteção de dados entra em vigor em agosto de 2020, em princípio, já que existe projeto de lei para prorrogar a data para entrar em vigor, e se as empresas não estiverem adequadas, com um efetivo compliance, poderão, ainda, com a recente derrubada dos vetos à Lei 13.853/2019, artigo 52, incisos X, XI e XII, sofrer as penalidades restabelecidas nestes incisos de suspensão parcial do funcionamento de banco de dados por até seis meses e prorrogável por igual período até a regularização da atividade pelo controlador, suspensão do exercício da atividade de tratamento dos dados pessoais pelo período máximo de seis meses, prorrogável por igual período e a proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
A legislação prevê, ainda, a possibilidade de reparação por danos morais ou patrimoniais individuais ou coletivos, em ação judicial, pelo descumprimento da legislação de proteção de dados, nos termos do artigo 42 da Lei 13709/2017 e com a possibilidade de inversão do ônus da prova.
A possibilidade da tutela coletiva, para resguardar e tutelar os dados pessoais e os dados pessoais sensíveis, será de extrema relevância para a legislação de proteção de dados alcançar seu objetivo principal de respeito aos direitos humanos e fundamentais.
Os agentes de tratamento são o controlador e o operador. O controlador é em regra a empresa, é quem toma as decisões. O operador é aquele que realiza o tratamento de dados e que pode ser, por exemplo, um fornecedor de serviços de nuvem, que apenas armazena dados a pedido do controlador.
A empresa também deverá nomear um encarregado, o qual corresponde ao DPO no regulamento europeu e que será o elo de comunicação entre os titulares dos dados e a Autoridade Nacional de Proteção de Dados
Ainda, com base no princípio da prestação de contas, previsto no artigo 6º. da Lei Geral de Proteção de Dados, temos o relatório de impacto à proteção de dados pessoais, obrigação do controlador, que contém toda a descrição dos processos de tratamento de dados pessoais, que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.
Com um bom programa de compliance, incluindo a segurança da informação, a empresa se adequará à Lei Geral de Proteção de Dados, evitando ser penalizada com sanções administrativas ou com altas condenações, principalmente em ações coletivas, no Judiciário, por não adequação à Lei Geral de Proteção de Dados e outras normas aplicáveis à proteção de dados. Ao estabelecer regras de boas práticas, o controlador e o operador deverão considerar, no tratamento de dados, a natureza, o escopo, a finalidade, a probabilidade e a gravidade dos riscos e dos benefícios decorrentes do tratamento dos dados.
+ LGPD
A importância da adaptação à LGPD
47 fatos sobre a LGPD que você precisa saber
Empresas se unem para facilitar a adequação do mercado à LGPD
Congresso derruba vetos da LGPD e “reinclui” punição que suspende atividade da empresa
Um ano de LGPD: o que já mudou nas empresas?