Em agosto de 2020, a Lei Geral de Proteção de Dados (“LGPD”) entrará em vigor. Seu principal objetivo consiste na proteção dos titulares de dados pessoais, o que se busca por meio do incremento da segurança e previsibilidade das relações que envolvam tratamento de dados. Com o advento da LGPD, da mesma forma que o titular dos dados poderá reclamar seus direitos, as empresas e os agentes de tratamento de dados estarão seguros de que não sofrerão sanções inesperadas – desde que atuem de acordo com as previsões legais.

A fim de auxiliar as pessoas físicas e jurídicas a agir em conformidade com a LGPD, abordaremos as autorizações jurídicas que permitem o tratamento de dados pessoais e que garantirão maior segurança em operações dessa natureza.

O artigo 7º da LGPD traz dez hipóteses taxativas para o tratamento de dados, o que significa dizer que o tratamento de dados somente poderá ser legalmente realizado dentro dessas previsões.

A primeira hipótese é a obtenção do consentimento do titular (inc. I). Conforme definido na própria lei, o consentimento é a “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada” (art. 5º, inc. XII).

Para a obtenção do consentimento, é necessário que este seja livre, informado, inequívoco, específico e expresso, de modo a deixar clara a manifestação de vontade do titular (art. 8º). Quando escrito, deverá ser obtido em termo ou cláusula destacada das demais, para garantir que o titular tenha ciência das finalidades específicas para as quais está fornecendo seus dados (art. 8º, §4º).

A segunda autorização é para o cumprimento de obrigação legal ou regulatória pelo controlador (inc. II). Sua utilização se torna possível no caso de imposição de ordem para tratamento (seja para fornecimento, adequação ou modificação de dados pessoais) caso lei ou ato normativo assim imponha, não sendo o tratamento, nestes casos, uma escolha discricionária das empresas ou agentes.

A terceira base legal é a execução de políticas públicas (inc. III). Não se aplica às empresas e aos agentes de tratamento em geral, mas apenas à Administração Pública. Deverá sempre ser observada a adequação do tratamento à execução de política pública, observando-se as regras do Capítulo IV da Lei, que regulamenta o uso de dados pessoais pelo poder público.

A quarta hipótese é a de estudos e pesquisas (inc. IV). Neste caso, deverá ser garantida, sempre que possível, a anonimização dos dados pessoais por meio de procedimentos impossibilitem a associação de um dado a um indivíduo, seja mediante criptografia ou outro mecanismo anonimizador.

No caso de estudos em saúde pública, os dados serão tratados estritamente para fins de estudos e pesquisas, devendo ser mantidos em ambiente controlado e seguro, conforme práticas de segurança previstas em regulamento específico e que incluam, sempre que possível, a anonimização ou pseudonimização dos dados (art. 13).

A quinta e sexta hipóteses são semelhantes e valem para a execução de contratos (inc. V) e em processo judicial, administrativo ou arbitral (inc. VI). Assim como no cumprimento de obrigação legal ou regulatória, estará autorizado o tratamento dos dados pessoais para finalidades específicas caso haja ordem judicial, imposição legal, procedimental, ou contratual.

A sétima autorização diz respeito à proteção da vida ou da incolumidade física do titular (inc. VII). Bastante excepcional, está relacionada a estado de necessidade do titular. O exemplo mais comum é o acesso de telefone celular ou documentos do indivíduo no caso de acidente que este tenha sofrido, a fim de viabilizar a comunicação com sua família, acionar o plano de saúde ou chamar uma ambulância.

A oitava hipótese, alterada pela Lei nº 13.853/19 para incluir a expressão “exclusivamente”, é a da tutela da saúde (inc. VIII). Esta hipótese não serve a finalidades outras que não aquelas expressamente descritas no dispositivo legal, ou seja, no caso de procedimento realizado por profissional de saúde, serviços de saúde ou autoridade sanitária. O destaque quanto ao “exclusivamente” é importante para afastar interesses de entidades como farmácias, tomadoras de plano de saúde e hospitais que pudessem violar a intimidade dos dados sensíveis relacionados à saúde do titular.

A nona e, sem dúvidas, mais polêmica de todas as bases legais, é o caso de legítimo interesse do controlador (inc. IX). Inédita no direito brasileiro, mas muito utilizada fora do país, essa base legal autoriza o controlador a tratar dados pessoais para diversas finalidades sem o consentimento do titular para cada uma delas.

Ainda assim, para utilização desta hipótese, é necessário avaliar a proporcionalidade entre os interesses da empresa em tratar os dados e a legítima expectativa do titular dos dados, bem como seus direitos e liberdades fundamentais. Por tal razão, a base legal é bastante abstrata e incerta, podendo representar certo risco tanto ao controlador quanto aos titulares dos dados, visto que ambos ficarão à mercê deste teste de proporcionalidade.

Apesar disso, por facilitar o procedimento para legitimar o tratamento de dados, o interesse legítimo tem sido a base legal mais utilizada pelas grandes corporações que atuam com tratamento massivo de dados.

Por fim, a décima e última autorização legal diz respeito à proteção do crédito (inc. X). Esta é a garantia aos tradicionais órgãos de proteção ao crédito, para que possam incluir dados pessoais dos consumidores em cadastros positivos sem o consentimento do titular. A base legal serve como garantia que vai para além do próprio indivíduo e favorece a coletividade em geral. No caso de compartilhamento ou transferência de tais dados, os agentes deverão observar as premissas do interesse legítimo ou consentimento, na medida em que ultrapassarão a estrita proteção do crédito.

Nenhuma das hipóteses legais prepondera sobre as demais, sendo sempre necessário buscar a base legal que seja mais adequada às operações do controlador. Por tal razão, é importante que as empresas que trabalham com tratamento de dados pessoais em suas operações adequem seus procedimentos internos e suas políticas de compliance desde logo, a fim de estar em conformidade com a lei e garantir a regularidade de suas operações de tratamento.

Deste modo, a Poletto & Possamai Sociedade de Advogados está disposta a auxiliar as companhias com a adequação às bases legais para tratamento de dados pessoais de acordo com a Lei Geral de Proteção de Dados, a fim de garantir, da maneira mais eficiente, a conformidade à Lei.

O post As bases legais para tratamento de dados pessoais de acordo com a Lei Geral de Proteção de Dados apareceu primeiro em Poletto & Possamai.

Foi sancionado pela Presidência da República, na data de 14 de agosto de 2018, a Lei nº 13.709/2018, nominada de Lei Geral de Proteção de Dados (LGPD), a qual tem por objetivo regulamentar e dispor quanto a proteção de dados pessoais, complementando e alterando os dispositivos da Lei nº 12.965/2014 (Marco Civil da Internet), visando incluir o Brasil no rol de Estados¹ e Blocos Econômicos² os quais possuem standards mínimos no tocante à coleta, uso, arquivamento e demais ações relacionadas à dados pessoais, fomentando assim o desenvolvimento econômico e a proteção aos direitos fundamentais das pessoas naturais.

Em linhas gerais, o regramento instituído pela LGPD aplica-se a agentes que gerenciam (“controlador”³) ou operacionalizam (“operador”⁴) ações de coleta, produção, recepção, classificação, utilização, acesso, reprodução, dentre outros 20 “tratamentos”⁵, relacionados a informações (“dado  pessoal”⁶ e “dado  pessoal  sensível”⁷) adquiridas de forma digital ou física, de pessoas naturais localizadas, ou as quais tenham seus dados adquiridos em território nacional, tenham seus dados tratados no Brasil, ou ainda se refiram a dados que tenham por objetivo promover a oferta de bens ou serviços no país.

Assim, nota-se que a legislação aprovada possui aplicação transnacional, possuindo relevância à pessoas naturais e jurídicas, nacionais ou estrangeiras sem distinção, desde que se enquadrem nas condições definidas em seu artigo terceiro⁸ e não excepcionadas pelo artigo quarto – como em casos de ausência de intenção econômica no tratamento de dados, ou no uso para fins jornalísticos, por exemplo.

Em vista o seu espírito protetivo, a LGPD traz ainda condições quanto a forma de arrecadação de dados, trazendo a figura do consentimento específico do titular⁹ (o qual, em teoria, acabaria com os grandes e genéricos textos de “termos e condições de uso”, invariavelmente aceitos sem prévia leitura pelo usuário) e demais regramentos no tocante ao acesso, correção, atualização ou eliminação de dados pessoais em poder de pessoas de direito público ou privado¹⁰, os quais deverão possuir agentes específicos e individualizados responsáveis pelo tratamento de dados e atendimento aos pleitos recepcionados, similares ao conceito de um departamento de ouvidoria em junção ao departamento de compliance.

São ainda estipulados mecanismos diferenciados no tocante ao tratamento de dados pessoais sensíveis (dados intimamente ligados a moral e preferências pessoais) e dados adquiridos de crianças e adolescentes – em que pese o consentimento no tocante a este último item seja de difícil aferição, em especial no que se refere a necessidade de consentimento “específico e em destaque dado por pelo menos um dos pais ou responsáveis legal”, quando ocorrido por meio digital.

Dentre diversas provisões apresentadas pela LGPD, provavelmente os mais relevantes regramentos digam respeito àqueles insertos em seu Capítulo VII – Da Segurança e das Boas Práticas e Capítulo VIII – Da Fiscalização, aonde constam obrigações à pessoas físicas ou jurídicas que coletam e operam dados e informações no tocante à padrões mínimos de segurança, procedimento em caso de incidentes que possam gerar risco ou danos aos titulares dos dados, assim como sanções aplicáveis aos agentes de tratamento de dados.

Em linha com as disposições constantes no regramento Europeu – GDPR – a legislação nacional estipula a obrigação dos agentes de gerenciamento e operação de dados em noticiar o órgão regulador e o indivíduo afetado quanto a ocorrência de incidentes de segurança que possam gerar danos.

Neste sentido, muito embora a legislação europeia determine a apresentação de informações à autoridade e indivíduos no prazo máximo de 72h, enquanto a disposição do artigo 48 da LGPD indique que a notificação deverá ocorrer “em prazo razoável”, espera-se que a nova regra evite casos nos quais empresas se abstém de informar a ocorrência de falhas de segurança, visando resguardar seus interesses comerciais em detrimento dos direitos individuais daqueles que lhes confiaram suas informações pessoais¹¹.

Ademais, em harmonia com o dever de informação, provavelmente a principal introdução da LGPD diz respeito à estipulação de sanções pecuniárias aos agentes faltosos, as quais poderão equivaler a até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, limitada ao total de R$ 50.000.000,00 (cinquenta milhões de reais), por infração – infelizmente a realidade demonstra que a delimitação de penalidades pecuniárias é a principal força motriz no que diz respeito à modificação de padrões comportamentais reprováveis.

Muito embora a Lei nº 13.709/2018 passe a ter vigência somente dezoito meses após sua publicação oficial, as ações de alteração e adaptação aos regramentos indicados na LGPD por empresas iniciarão de imediato, trazendo oportunidades à diversos setores, dentre eles o mercado securitário.

Isto porque a necessária implementação de procedimentos e políticas de boas práticas e governança dos dados gerenciados ou operados – a qual deverá conter planos de respostas de incidentes e remediação de danos – são uma grande oportunidade à prestação de serviços especializados por Seguradoras quando da aferição e subscrição de riscos, assim como em cenários pós sinistro, com o oferecimento de serviços de RP, investigação técnica, contenção de danos, dentre outros.

De mesmo modo, as pesadas sanções às quais pessoas físicas ou jurídicas estarão sujeitas representaram um cenário positivo para a comercialização de demais produtos ligados à responsabilidade civil de indivíduos ou empresas, seus diretores e funcionários.

A indicação de que as disposições da Lei 13.709/2018 são solo fértil ao desenvolvimento do mercado securitário, especialmente em linhas de riscos cibernéticos e responsabilidade civil, pode ser apurada em comparativo ao cenário europeu¹², qual viu um crescimento relevante nas subscrições de risco e prêmios auferidos¹³.

Assim, não obstante as múltiplas críticas e elogios possíveis ao texto da legislação sob análise, é importante ressaltar a relevante adição, inédita, ao conjunto legislativo nacional no que diz respeito à segurança e proteção de dados pessoais, cabendo aos membros do mercado observar suas oportunidades e moldar soluções aqueles que serão impactados por suas mudanças.

Neste sentido, ao longo dos próximos dezoito meses, será extremamente relevante por parte de Seguradoras e Resseguradoras atuantes no cenário nacional, trabalhos voltados à pesquisas de mercado e consultoria técnica, visando a revisão de clausulados, desenvolvimento e adequação de seus produtos aos novos elementos trazidos pela LGPD, assim como demais definições relacionadas à regulação dos futuros sinistros e os seus reflexos no poder judiciário brasileiro.

[1]Dentre países como Suíça (Data Protection Act e Data Procetion Ordinance), Estônia (Data Protection Act), Canadá (Personal Information Protection and Electronic Documents Act e demais legislações específicas das províncias) e Estados Unidos (em que pese a ausência de legislação federal que abarque o tema de proteção de dados, legislações esparsas possuem relevância ao tema, assim como demais programas de proteção de dados, como o “Privacy Shield Framework” instituído para fomentar relações comerciais entre os Estados Unidos, Suíça e União Européia) por exemplo;
[2]No âmbito da União Europeia, vê-se a aplicação do General Data Protection Regulation, qual entrou em vigor na data de 25 de maio de 2018. (ver também: https://bit.ly/2nhGvFh);
[3]Lei 13.709/2018, artigo 5º, VI – Controlador: a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
[4]Lei 13.709/2018, artigo 5º, VII – Operador: a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
[5]Lei 13.709/2018, artigo 5º, X – Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
[6]Lei 13.709/2018, artigo 5º, I – Dado Pessoal: informação relacionada à pessoa natural identificada ou identificável;
[7]Lei 13.709/2018, artigo 5º, II – Dado Pessoal Sensível: dado pessoal sobre a origem racial ou étnica, a convicção religiosa, a opinião política, a filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
[8]Lei 13.709/2018, artigo 3º – Esta Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que:
I – a operação de tratamento seja realizada no território nacional;
II – a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou III – os dados pessoais objeto do tratamento tenham
sido coletados no território nacional.
§ 1º. Consideram-se coletados no território nacional os dados pessoais cujo titular nele se encontre no momento da coleta.
§ 2º Excetua-se, do disposto no inciso I, deste artigo, o tratamento de dados previsto no inciso IV do caput do art. 4º desta Lei.
[9]Lei 13.709/2018, artigo 8º e s.s.
[10]Lei 13.709/2018, artigos 9º, 17 e s.s.
[11]“Uber admite que omitiu ataque hacker que roubou dados de 57 milhões de usuários em 2016”
https://g1.globo.com/economia/tecnologia/noticia/uber-admite-ter-sido-alvo-de-ataque-hacker-que-roubou-dados-de-57-milhoes-de-usuarios-em-2016.ghtml
[12]https://www.xprimm.com/The-EU-cyber-insurance-market-in-the-run-up-to-GDPR-implementation-articol-117,149-11121.htm
[13]https://www.reuters.com/article/insurance-cyber-gdpr/insurers-cash-in-on-new-european-data-privacy-rules-idUSL5N1SN6QY

O post Lei Geral de Proteção de Dados (LGPD) e as Novas Oportunidades ao Mercado Segurador apareceu primeiro em Poletto & Possamai.