Com a eficácia plena da Lei Geral de Proteção de Dados – LGPD prevista para fevereiro de 2020, as matérias em torno de tratamento de dados, anteriormente reguladas por normas esparsas, passarão a ser endereçadas à referida Lei Geral.
A LGPD será aplicada a qualquer operação de tratamento de dados – o que engloba operações realizadas com dados pessoais como: coleta, recepção, classificação, utilização, acesso, distribuição, processamento, arquivamento, armazenamento, eliminação, entre outras – por pessoa física ou jurídica, independentemente do meio, realizada em território nacional, ou cujo objeto seja oferta ou fornecimento de bens ou serviços para indivíduos localizados no território nacional, ou ainda quando os dados objetos do tratamento tenham sido coletados no Brasil.
Ademais, a partir da produção de efeitos da LGPD o tratamento de dados no Brasil, anteriormente viabilizado principalmente pelo consentimento, passa a ser possível também quando necessário para execução do contrato, ou por legítimo interesse do responsável pelo tratamento, entre outras hipóteses, como veremos adiante.
Especificamente com relação ao consentimento, este passa a ser regulamentado pela LGPD, que determina sua forma, devendo ocorrer por manifestação livre, informada e inequívoca do titular, expressando sua concordância com o tratamento de seus dados pessoais para uma finalidade determinada, não sendo admitidas autorizações genéricas, sendo vedado o tratamento caso a autorização tenha sido obtida mediante vício de consentimento.
Assim sendo, a LGPD estabelece um consentimento altamente qualificado, já que a manifestação de vontade precisa ser livre e inequívoca; formada mediante o conhecimento de todas as informações necessárias para tal, o que inclui a finalidade do tratamento de dados; e restrita às finalidades específicas e determinadas que foram informadas ao proprietário dos dados.
Outra importante mudança trazida pela nova Lei diz respeito ao fato de o consentimento passar a ser temporário, ou seja, o titular dos dados pode revogá-lo a qualquer tempo por procedimento gratuito e facilitado, quando o controlador – aqui entendido como o provedor de internet que trata dados dos seus clientes, por exemplo – deverá sessar qualquer atividade de tratamento de dados baseada no consentimento anterior, até que seja feito o pedido de eliminação dos dados coletados.
Também, fica evidente que qualquer alteração pelo controlador da finalidade de tratamento de dados será necessário novo consentimento. Ou seja, o provedor de internet sempre deverá informar ao titular, com destaque de forma específica do teor das alterações nas finalidades do tratamento, podendo o cliente, nos casos em que o seu consentimento é exigido, revogá-lo caso discorde da alteração.
Ocorre que, a partir do momento em que o consentimento passa a ser temporário e limitado a finalidades específicas com a vigência da LGPD, todos os contratos do provedor de internet deverão ser adequados, sob pena de aplicação de multa de até 2% do seu faturamento a R$50 Milhões por infração.
Assim, acredita-se que o valor elevado da penalização por infração à imposição da LGPD acarretará praticamente no desuso do consentimento como estratégia para tratamento de dados, pois limitá-lo a finalidades específicas e muito bem determinadas para tratamentos de dados pessoais, assim como torná-lo temporário, pode inviabilizar operações simples do provedor de internet.
Nesse caso, poderá o provedor optar por outras bases legais já mencionadas para amparar o tratamento de dados e adequar seus contratos à LGPD, tais como o interesse legítimo e execução do contrato.
No que se refere a interesse legítimo, a nova lei autoriza o tratamento de dados quando necessário para atender aos interesses legítimos do controlador ou de terceiro. Neste caso, não há uma ação afirmativa do titular dos dados (como necessidade de consentimento, por exemplo). Só é importante informar e dar ciência ao titular dos dados pessoais antes de coletá-los.
Contudo, o provedor de internet caso opte por prever em seus contratos o tratamento de dados com base em seu legítimo interesse ou de terceiros, deverá obrigatoriamente colocar na balança estes interesses com os direitos e liberdades fundamentais do proprietário dos dados, pois o interesse legítimo não será aceito pela LGPD quando esses direitos e liberdades fundamentais do cliente exijam a proteção dos dados pessoais.
Ainda, conforme determina a nova lei, o provedor somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas. Elas incluem, mas não se limitam a: apoio e promoção de atividades do provedor; e proteção, em relação ao proprietário dos dados, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais.
Dessa maneira, não é tão simples delimitar o que seria um interesse legítimo do provedor de internet para que se fundamente o tratamento de dados de acordo com a nova lei, trata-se de tarefa complexa e que deve ser pensada com muita atenção.
Além disso, a LGPD estabelece que quando o tratamento de dados tiver como base legal o legítimo interesse, só poderão ser utilizados dados pessoais estritamente necessários para a finalidade pretendida. Sendo que o provedor de internet deverá adotar medidas para garantir a transparência do tratamento de dados, assim como, a autoridade nacional poderá solicitar ao provedor um relatório de impacto à proteção de dados pessoais – um documento que seja uma fotografia verossímil do processo de tratamento de dados e da prevenção de riscos identificáveis de vazamento de dados.
Por fim, a nova lei estabelece que se o tratamento de dados for baseado em interesse legítimo, o controlador (provedor de internet) deverá manter registro das operações de tratamento de dados, o que torna esta opção ainda mais burocrática.
Outra hipótese já mencionada é o tratamento de dados com base na execução do contrato, ou seja, será possível realizar tratamento de dados pessoais quando esses forem indispensáveis para cumprir o contrato – o provedor de internet poderá tratar dados quando esses forem necessários para entrega do serviço de internet.
Destaca-se que quando o tratamento de dados pessoais for condição para o fornecimento de produto ou de serviço ou para o exercício de direito, o titular será informado com destaque sobre esse fato e sobre os meios pelos quais poderá exercer seus direitos.
Diante de tudo que foi exposto, fica claro que o provedor de internet deverá escolher a base legal que melhor atenda suas necessidades para fundamentar o tratamento de dados de seus usuários, levando em consideração todas as novas exigências trazidas pela LGPD, o que deverá ser abordado nos contratos de fornecimento de internet. Para auxílio nesta tomada de decisão é indispensável que o provedor seja auxiliado por profissional qualificado que consiga compreender a forma que se dá o tratamento de dados e os motivos pelos quais ele acontece, de forma a mitigar eventuais riscos de vazamento de dados, que levariam a imposição de multa entre outras penalidades.
Dra. Anna Gardemann e Dra. Mariana Vidotti – Ambas Compõem o corpo de advogados da Gardemann & Vidotti Advogados Associados.
