A proteção de dados veio para ficar

A proteção de dados veio para ficar

Viviane Maldonado e Renato Opice Blum*

05 de junho de 2019 | 10h00

Viviane Maldonado e Renato Opice Blum. FOTOS: DIVULGAÇÃO

Poucos meses depois da eficácia plena do GDPR (Regulamento Geral de Dados da Proteção da Dados da União Europeia), em maio de 2018, foi aprovada a nossa Lei Geral de Proteção de Dados (Lei 13.709/18), que entrará em vigor em 2020.

O tema assumiu relevância tal que hoje se encontra no centro da agenda de quase todos os países ocidentais. E a razão é muito simples: o mundo é hoje movido a dados.

Decorre desse cenário o fato de que há necessidade de específica legislação que garanta a proteção de dados pessoais das pessoas naturais, a quem deve estar assegurado o controle a respeito das finalidades de sua utilização, bem como a garantia de sua segurança. Com efeito, é indiscutível que dados pessoais expostos são capazes de ocasionar prejuízos irreversíveis.

O sistema legal é complexo, a iniciar pela disruptiva abrangência extraterritorial das legislações. No sistema europeu (e também no brasileiro), em algumas circunstâncias específicas, há aplicação da lei e, consequentemente, também de sanções, a empresas que sequer estejam localizadas no território de origem se vierem a descumprir a legislação.

Além disso, assim como na Europa, a lei brasileira cria novos direitos aos titulares dos dados pessoais e também novas obrigações às empresas, as quais devem ser inteiramente observadas, sob pena de imposição de altíssimas multas.

Na Europa, há tradição de décadas em matéria de proteção de dados pessoais. Em 1981, o Conselho da Europa estabeleceu o primeiro instrumento internacionalmente vinculativo para a proteção dos dados pessoais automatizados. Trata-se da Convenção 108, de 1981, que foi modernizada em 2018 em razão do GDPR. Posteriormente, em 1995, sobreveio a Diretiva 95/46, que ensejou a incorporação da lógica da proteção de dados por meio de legislação nacional de cada estado-membro, no chamado processo de transposição. Por fim, em 2012, foi proposta a elaboração de projeto de Regulamento (que possui caráter de lei aos estados-membros sem a necessidade da transposição), o qual culminou na aprovação do GDPR em abril de 2016 e que se tornou aplicável em 25/5/2018.

No Brasil, não há tradição na matéria. Alguns dispositivos legais podem ser encontrados em legislações esparsas, em caráter setorial. Por isso, tanto mais complexa é a compreensão do tema no País, já que agora estão estabelecidos conceitos, fundamentos, stakeholders e obrigações jamais tratados na legislação nacional.

Antevendo as dificuldades que o Brasil enfrentaria quanto à compreensão do Regulamento Europeu, realizamos em parceria, em 2017, o primeiro evento sobre o GDPR em território nacional, na sede da Câmara Portuguesa em São Paulo. Tamanho foi o sucesso do evento que, logo depois, foi lançado o primeiro curso sobre o GDPR do País, sob nossa coordenação, e que rapidamente capacitou mais de quinhentos alunos.

Com a demanda crescente, logo em seguida foi lançado o livro Comentários ao GDPR, pela Editora Thomson Reuters, obra coletiva também sob nossa coordenação, e que contou com seleto grupo de profissionais especializados. Agora, na sequência daquela obra, e à vista da nova lei brasileira, acaba de ser lançada a obra LGPD Comentada, sob os mesmos moldes.

Mas afinal, do que trata a LGPD e por que as empresas e os entes públicos deveriam se preocupar com isso? Bem, como já dissemos, há um vasto conjunto de conceitos até então desconhecidos do legislador brasileiro e que agora estão no ordenamento jurídico. Basicamente, os dados pessoais das pessoas físicas só podem ser objeto de tratamento se houver uma base legal autorizadora. No Brasil, existem dez possíveis bases legais, dentre as quais o consentimento, que, ao contrário de um mito que foi construído erroneamente, não tem maior relevância que as outras nove. Na verdade, não há hierarquia entre as dez bases legais.

As empresas, portanto, e também as pessoas físicas que tratem dados pessoais com finalidades econômicas, só podem fazê-lo (ou seja recolhê-los, processá-los, mantê-los etc), se uma das bases legais estiver presente. Como exemplos de bases legais, podemos citar a existência de contrato entre as partes e a obrigação legal. Se existe, portanto, uma relação contratual, é essa a base justificadora do tratamento.

De outro lado, há vários novos direitos ora assegurados ao titular, que vão desde o acesso a seus próprios dados, até a própria possibilidade de portabilidade. O titular, em alguns casos, pode pedir para que os dados pessoais tratados sejam migrados para outro controlador.

No mais, há uma série de procedimentos a serem observados pelas empresas no que se refere à segurança desses dados e riscos envolvidos. Sendo assim, não basta conhecer a lei em termos teóricos. É preciso implementá-la.

Todos esses processos podem parecer trabalhosos e complexos, mas são absolutamente necessários no contexto mundial. Um país sem reconhecido nível de adequação e segurança em matéria de proteção de dados sequer pode, à vista do GDPR, recepcionar dados provenientes da União Europeia.

O momento, pois, é de compreender a lei e de iniciar o longo caminho de implementação, que passa pela formação de equipes dentro das empresas, alteração de processos e awareness, tudo para o atingimento do integral compliance.

Não há tempo a perder. A proteção de dados veio para ficar.

*Viviane Maldonado, autora dos livros Direito ao Esquecimento, Comentários ao GDPR e LGPD Comentada, além de diversos artigos acadêmicos publicados no Brasil e no exterior. Membro do Training Advisory Board. Partner do Instituto de Inovação Legal (Portugal); Renato Opice Blum, advogado, economista e professor coordenador dos cursos de Proteção de Dados e Direito Digital do Insper

Tendências: