Para a Lei 13.709, sendo empresário, de qualquer porte, mesmo individual, possuindo dados pessoais de terceiros, a primeira coisa a saber é que você é responsável pela guarda e manutenção deles. A segunda, que só pode ter ou manter esses dados, motivado por uma base legal ou autorização expressa. A outra, que a posse dos mesmos está vinculada a uma finalidade, e esta precisa haver razão jurídica específica. Os dados ganharam uma graduação de importância, sendo classificados como sensíveis os relativos a questões da intimidade pessoal, como religiosidade, política, sexo, etc.
Tendo-se claro que a norma visa proteger a pessoa física pelo uso e compartilhamento por terceiros das informações.
Nesse contexto, as partes são: 1. o Titular dos dados; 2. o Controlador; 3. o Operador; e 4; o Encarregado.
O papel de cada um, pela ordem, é o seguinte: a) O titular, é o sujeito a ser protegido. b) O controlador, a empresa coletora e responsável pela guarda. c) o operador é o que faz o “tratamento” deles, agindo sob as ordens do Controlador. d) o encarregado é o DPO ( data protection officer ) ou a pessoa física ou jurídica, responsável pelas ações externas, a saber: perante a autoridade federal, as partes envolvidas, os conflitos de interesses. As ações internas : treinamentos, “compliance”, confecção do “data mapping”, inserção de bases legais e “due diligence” , ou autenticação dos dados.
Algumas empresas possuem elevado risco de exposição e estão sujeitas a implicações de grandes proporções em casos de vazamentos de dados. Dentro dessas estão: escolas, clínicas, financeiras, imobiliárias, bancos, escritório de contabilidade, telefonia, e-commerce, farmácias, “deliverys”, etc.
De fundamental importância que tais empresas implementem um “projeto de proteção de dados”. Nesse projeto deverão ser diagnosticados os riscos presentes e futuros. Realizado e configurado o “data mapping”, o inventario dos dados possuídos, as bases legais para cada dado disponibilizado, a fundamentação jurídica para seu uso e posse, e após, analisado o impacto social desse relatório com as devidas atualizações e estabelecimento de novos instrumentos de obtenção de dados, contratos, permissões e correções. O projeto contempla ainda, a adoção de práticas de proteção, políticas de privacidade, termos de uso, e respostas públicas a ANPD (* autoridade federal de dados), utilização correta e permitida, inclusive compartilhamento, treinamento de pessoal e atualizações periódicas, solução negociada de questões entre partes, e enfrentamento de demandas judiciais.
Entende-se que não é o porte da empresa que determina a implementação do projeto de proteção de dados, mas a quantidade de dados que manipula. Importante aspecto a destacar é que a autoridade federal ou ANPD, em criação, será objeto de regulamento específico. Sua função será a fiscalização e autuação pelas infrações cometidas nessa seara. Registrando que a lei criada ainda em 2018, portanto com dois anos de intervalo, vigora desde 14 de setembro, porém a aplicação de sanções administrativas pela autoridade fiscalizadora só iniciará em setembro de 2021.
Por último, o instrumento essencial a ser implementado é o projeto de proteção de dados, a fim de ser respaldada junto ao consumidor, evitando perdas e demandas onerosas e estar configurado juridicamente seu sistema perante a autoridade federal. Tais providências são fundamentais para minimizar os riscos junto a clientes e consumidores, evitar perdas com autuações de Procon, ANPD, ou Ministério Público.
Paulo L M Zoccoli
Advogado Empresarial OAB-RS 18159, Pós-Graduação em Direito Tributário/UFRGS/2002