Balcão do Tributarista: Questões práticas sobre a LGPD e sua implementação

Por meio da Lei nº 13.709/2018 foi instituída no Brasil a Lei Geral de Proteção de Dados Pessoais (LGPD), que dispõe sobre o tratamento de dados pessoais com o objetivo de proteger os direitos fundamentais de liberdade, como o respeito à privacidade, à inviolabilidade da intimidade, da honra e da imagem, à livre iniciativa, à livre concorrência e à defesa do consumidor.

Após diversas modificações no termo inicial de vigência da lei, a situação hoje é de que a LGPD começará a vigorar em agosto de 2020, sendo que os artigos que tratam das sanções somente passarão a ser efetivos em agosto de 2021.

Muito se tem discutido a respeito da efetiva aplicação da LGPD após sua entrada em vigor. Isto porque no Brasil, não raras vezes, nos deparamos com o surpreendente fenômeno de leis que, mesmo válidas e vigentes, acabam por não produzir os efeitos práticos esperados.

Neste contexto, surgem comparações com os programas de compliance decorrentes da chamada Lei Anticorrupção (Lei nº 12.846/2013), os quais são tratados pela legislação brasileira como “mecanismos internos de integridade” e que visam a criação de uma estrutura interna nas empresas para evitar, detectar e sanar a prática de irregularidades contra a administração pública.

É que, embora exista a possibilidade inclusive de repercussão penal pelo descumprimento destas medidas de compliance, na prática um número mínimo de empresas adotou os procedimentos necessários para a implementação destes mecanismos.

Também se observam comparações entre a LGPD e o Código de Defesa do Consumidor (CDC), que, embora seja de 1990, somente nos últimos anos parece ter ganho a força normativa e protecionista ao consumidor que se esperava desde o início de sua vigência.

Diante deste cenário, é razoável questionar se a LGPD terá o mesmo destino de “não eficácia prática” ou de uma grande demora até que atinja seu objetivo. Entendemos, contudo, que não deverá ser este o caminho, pois há importantes diferenças entre o que prevê a lei de proteção de dados e as demais leis mencionadas. O principal ponto é que, diferentemente da compliance e do CDC, a LGPD contará com uma agência própria para sua fiscalização, inclusive com poder sancionatório.

Ademais, há uma grande pressão externa, principalmente da comunidade europeia, para que o Brasil implemente uma lei de proteção de dados. Aliás, a LGPD é praticamente um espelho da General Data Protection Regulation, a lei de proteção de dados da União Europeia.

Portanto, é preciso que tomemos ciência da LGPD e nos preparemos para sua vigência, adequando nossas operações internas de modo que se coadunem ao previsto na legislação. Procuraremos no presente artigo, de forma bastante breve, abordar alguns dos principais aspectos da lei e de sua implementação.

O que está sendo protegido?
De forma geral, a LGPD, como o próprio nome já indica, visa a proteção de dados. Os dados são classificados da seguinte maneira: quanto à forma, podem ser físicos (dados impressos em papel, por exemplo) ou eletrônicos (armazenados em mídias digitais); e quanto a sua natureza, podendo ser normais (dados pessoais de identificação, como nome, números de documentos, endereço, e-mail, etc.) ou sensíveis (dados relacionados a saúde, religião, sexualidade, raça, etc.).

Aqui identificamos o primeiro ponto de atenção. É que um formulário padrão de cadastro de clientes, por exemplo, pode facilmente conter estes dois tipos de dados – normais e sensíveis. E isto demanda uma atenção particular por parte de quem está os coletando, pois dependendo de sua classificação, os cuidados e tratamento devem ser distintos.

Outro importante ponto a ser observado é que, independentemente de se tratar de dados em papel ou em meio digital, quem faz a coleta deve obter o consentimento expresso do titular do dado, com a devida explicação sobre como ele será empregado e por que está sendo coletado.

Quem deve proteger?
A LGPD é extremamente abrangente quanto a quem está obrigado a seguir suas determinações, dispondo que qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, está sujeita aos seus ditames.

E o tratamento – ou operação de tratamento de dado – é igualmente abrangente, englobando qualquer operação realizada com dados pessoais, como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação.

Em linhas gerais, portanto, podemos dizer que qualquer um (pessoa natural ou empresa) que tenha qualquer tipo de contato com dados pessoais está realizando uma operação de tratamento de dado e, consequentemente, está vinculado ao disposto na LGPD.

Assim, a lei de proteção de dados, ao contrário do que poder-se-ia imaginar em um primeiro momento, não está restrita apenas a companhias privadas de cunho digital, como redes sociais ou empresas que forneçam soluções em TI. Pelo contrário, sua aplicação atinge todas as pessoas jurídicas, incluindo a administração pública, e até mesmo pessoas físicas, em determinados casos.

Assim, um advogado ou médico, um escritório de contabilidade, uma empresa, independentemente de seu porte ou ramo de atuação, estará sujeita a LGPD, inclusive em relação aos dados de seus funcionários, clientes e fornecedores, entre outros tantos.

Estão excetuados da aplicação da LGPD os tratamentos de dados realizados por pessoa natural para fins exclusivamente particulares e não econômicos, assim como aqueles realizados exclusivamente para fins jornalísticos, artísticos ou acadêmicos; ou ainda para fins de segurança pública, defesa nacional, segurança do Estado ou investigações de infrações penais; bem como os dados provenientes de fora do território nacional e que não sejam compartilhados com agentes brasileiros.

Como deve ser a proteção?
Inicialmente é preciso ter em mente que as rotinas internas, especialmente de coleta dos dados, precisam ser revistas. Para a coleta do dado, é necessário que, de forma bastante clara, se tenha o consentimento do seu titular. Da mesma forma, é preciso explicitar a finalidade da coleta daquele dado (para que eu preciso dele e qual o tratamento que vai ser dado). No ambiente interno de quem faz a coleta ou tratamento dos dados, ou de forma geral quem terá contato com os dados, também é preciso fazer entender a seriedade necessária para o tratamento destes. E estas questões precisam estar devidamente documentadas.

A LGPD estabelece uma série de princípios que precisam ser observados nas atividades de tratamento de dados. Dentre eles, destacamos os princípios da finalidade (pelo qual o propósito do tratamento do dado precisa ser legítimo e específico); da adequação (que exige compatibilidade entre o dado e as finalidades informadas); da necessidade (referente à limitação do tratamento do dado ao que realmente é necessário para quem o coleta); e da segurança e prevenção (que determinam a adoção de medidas para proteger e evitar riscos aos dados).

Aqui verificamos uma correspondência com o acima referido quanto à possibilidade de encontrarmos em um mesmo formulário de cadastro de cliente dados pessoais normais e sensíveis. É preciso que se revisem estes documentos para verificar se os dados coletados (especialmente os sensíveis) estão de acordo com a finalidade, adequação e necessidade exigidos pela LGPD.

Partindo destas observações, podemos esquematizar um modelo de implementação da LGPD que compreende diferentes etapas:

• Inicialmente, é preciso fazer um levantamento de quais os dados que se possui hoje e fazer a sua adequada classificação conforme os critérios legais;
• Com os dados classificados, é preciso mapeá-los para verificar quais eventualmente não são mais adequados ou necessários, criando uma nova rotina especialmente no que diz respeito a coleta de novos dados, para evitar a obtenção de mais dados inadequados ou desnecessários;
• Após estas duas etapas, é preciso rever os processos de TI para os dados digitais e de logística dos dados físicos, bem como é preciso realizar uma revisão jurídica dos documentos a partir dos quais se realiza a coleta e tratamento dos dados (sejam contratos, fichas de cadastro, formulários online, termos de uso, entre outros), tanto do público externo (clientes, fornecedores, usuários), como interno (funcionários, por exemplo), adequando ou implantando cláusulas que ajustem o tratamento dos dados à LGPD;
• Por fim, deve-se realizar um treinamento da equipe para prepará-la para a nova realidade de tratamento de dados.

Acreditamos que este processo de implementação da LGPD é absolutamente multidisciplinar, envolvendo atividades jurídicas, administrativas e de tecnologia.

Quais as consequências para o descumprimento?
Como dissemos, um grande diferencial da LGPD é que a própria lei cria um órgão de fiscalização para sua aplicação. Denominada de Autoridade Nacional de Proteção de Dados (ANPD), será o órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta lei em todo o território nacional, inclusive com competência para impor penalidades.

Aqueles que cometerem infrações às normas previstas na LGPD estarão sujeitos a sanções como advertências, multa em percentual sobre o faturamento da empresa, publicização da infração, bloqueio ou eliminação dos dados e até mesmo suspensão ou proibição do exercício da atividade de tratamento dos dados.

Clairton Kubaszwski Gama é advogado, sócio do escritório Kubaszwski Gama Advogados Associados, especialista em Direito Tributário pelo IBET e mestrando em Direito pela UFRGS. Também é cervejeiro caseiro