INSPER
INSPER
LL.M DIREITO DOS CONTRATOS
XXXXX XXXXXX XXXXXXX XXXXXXX XXXXX XXXX
A PROTEÇÃO DE DADOS NA RELAÇÃO CONTRATUAL
SÃO PAULO 2020
XXXXX XXXXXX XXXXXXX XXXXXXX XXXXX XXXX
A PROTEÇÃO DE DADOS NA RELAÇÃO CONTRATUAL
Artigo apresentado ao programa de LL.M Direito dos Contratos como requisito parcial para a obtenção do título de pós-graduada em Direito dos Contratos.
Orientadora: Prof. Xxxxx Xxxxxx Xxxxxxxx Xxxx Xxxxxx
SÃO PAULO 2020
O presente trabalho tem como primeira finalidade a apresentação das possíveis problemáticas que a Lei Geral de Proteção de Dados (Lei n. 13.709/2018) poderá acarretar no âmbito da relação contratual, visto que já é possível prever que a tarefa de cumprir a lei e interpretar as suas nuances será difícil para o operador do direito, primeiramente, porque nos aspectos contratuais deverão estar previstas todas as possíveis possibilidades de tratamento dos dados pessoais. Para isso, no capítulo inaugural são expostos os principais conceitos legais, os princípios que regem o tema, as bases legais que justificam o tratamento de dados, passando pela autodeterminação informativa e, fechando a primeira parte, analisa-se as previsões no que toca à responsabilidade civil dos agentes de tratamento. O segundo capítulo é dedicado exclusivamente a analisar os impactos da Lei em estudo no âmbito contratual, além de trazer as boas práticas contratuais sugeridas pela doutrina.
Palavras-Chave: Base legal. Contrato. Controlador. Internet. LGPD. Operador. Proteção de dados. Tratamento.
The present study has as its first purpose the presentation of the possible issues that the General Data Protection Law (Law No. 13.709 / 2018) may cause in the scope of the contractual relationship, since it can already be predicted that the task of complying with the law and interpreting its nuances will be difficult for the operator of the law, primarily because all potential outcomes of processing personal data should be provided in the contractual aspects. Therefore, the opening chapter exposes the main legal concepts, the principles that govern the matter, the legal bases that justify the treatment of data, comprising the informative self-determination and, it closes with the forecasts regarding the civil liability of treatment agents. The second chapter is dedicated exclusively to analyzing the impacts of the Law under study in the contractual scope, in addition to bringing the best contractual practices suggested by the doctrine.
Keywords: Legal basis. Contract. Controller. Internet. LGPD. Operator. Data protection. Treatment.
INTRODUÇÃO 5
1 A LEI GERAL DE PROTEÇÃO DE DADOS BRASILEIRA 15
1.1 OBJETO DA LEGISLAÇÃO E APLICABILIDADE 15
1.2 PRINCÍPIOS RELATIVOS AO TRATAMENTO DE DADOS PESSOAIS 18
1.3 BASES LEGAIS PARA O TRATAMENTO DE DADOS PESSOAIS 23
1.4 BASES LEGAIS PARA AO TRATAMENTO DE DADOS SENSÍVEIS 27
1.5 DADOS ANONIMIZADOS, PSEUDOMINIZADOS E ANONIMIZAÇÃO 28
1.6 A AUTODETERMINAÇÃO INFORMATIVA E A RESPONSABILIDADE CIVIL NO TRATAMENTO DE DADOS 30
2 A PROTEÇÃO DE DADOS NA RELAÇÃO CONTRATUAL 35
2.1 A FIGURA DO CONTROLADOR E DO OPERADOR NA RELAÇÃO CONTRATUAL 35
2.2 O CONTRATO COMO SEGUNDA LINHA DE DEFESA 38
2.3 CONTEÚDO MÍNIMO DESEJÁVEL DE UM CONTRATO ENTRE CONTROLADOR E OPERADOR 40
2.4 GRAU DE ROBUSTEZ DAS CLÁUSULAS CONTRATUAIS CONFORME A ESPÉCIE DE DADO PESSOAL TRATADO 42
CONCLUSÃO 45
REFERÊNCIAS BIBLIOGRÁFICAS 48
ANEXOS 51
ANEXO A – MODELO DE CONTRATO ENTRE CONTROLADOR E OPERADOR . 51
INTRODUÇÃO
Atualmente, vivenciamos diversos desafios fascinantes no mundo jurídico decorrentes do impacto da era digital, a conhecida quarta revolução industrial, na qual a modelagem da nova revolução tecnológica recai diretamente nas relações humanas e, consequentemente, na matéria a ser enfrentada no âmbito jurídico.
Desde então temos enfrentado grandes transformações com a tecnologia e a exposição de dados, tanto na internet quanto no ambiente analógico, seja por intermédio da inserção pelos próprios usuários que inserem informações (implícita ou explicitamente), como pelas empresas que precisam lidar com a coleta de dados para a execução de sua atividade-fim, ainda que não sejam focadas diretamente no segmento de coleta de dados.
Assim, podemos dizer que mesmo aqueles que nunca acessaram a rede mundial de computadores podem ter suas informações cadastradas em algum órgão ou veículo de informação. Deste modo, impensável nos dias atuais, não encarar o advento das novas tecnologias e, por conseguinte, o tratamento de dados como eventos capazes de promover mudanças profundas em todos os setores. Conforme trecho abaixo, em que Xxxxxx Xxxxxx sintetiza um exemplo do impacto da era digital em nossas vidas:
Se eu tivesse lhe dito há 25 anos que, dentro de um quarto de século, um terço da humanidade estaria se comunicando entre si em imensas redes globais com centenas de milhões de pessoas – trocando áudio, vídeos, e textos – e que as informações sobre o mundo estariam acessíveis num celular, que qualquer pessoa poderia publicar uma nova ideia, lançar um produto ou transmitir uma ideia para um bilhão de pessoas simultaneamente e que o custo de fazer isso seria praticamente zero, você teria balançado sua cabeça em descrédito. Tudo isso é realidade agora.1
No entanto, as Tecnologias da Informação e da Comunicação (TICs) são extremamente mutáveis, e a cada dia surge uma nova tecnologia e um novo programa que não possuem regulamentação, e que esbarram no judiciário, recentes exemplos:
1 XXXXXX, Xxxxxx. Sociedade com custo marginal zero. São Paulo: M. Books. 2016. Pag. 89.
Uber, Rappi, Airbnb, economia de compartilhamento, vazamento de dados de grandes empresas, NSA x Xxxxxx Xxxxxxx entre outros.
Concluímos que o Direito não pode ficar alheio a essa silenciosa revolução que se processa. Há que se conseguir equacionar o avanço da Internet com a necessidade de obter algum controle sob o grande volume de informações que circula pelo mundo, preservando direitos fundamentais como a privacidade, a liberdade da informação e os direitos autorais sem afrontar o Estado de Direito.2
Nesse contexto, Xxxxx Xxxxxx, fundador e presidente executivo do Fórum Econômico Mundial, cunhou o conceito de “governança ágil das tecnologias”, segundo o qual os legisladores e reguladores devem oferecer apoio aos avanços tecnológicos sem sufocar a inovação para que seja possível dominar essa nova revolução. Pela governança ágil, quando se trata da privacidade do usuário, vislumbramos a necessidade de um ecossistema legislativo que sustente cenários resilientes, tendo em vista que ao mesmo tempo em que a análise de dados abre caminho para a inovação tecnológica, também gera preocupações sobre a ocorrência de crimes cibernéticos e roubo de identidade.3
Recentemente, com a necessidade de encarar a importância da internet nas relações sociais e inclusive empresariais, a União Europeia criou o Regulamento Geral de Proteção de Dados (“RGPD” – regulamento 2016/679 do Parlamento Europeu e do Conselho), que entrou em vigor em maio de 2018. Naturalmente, tem como objetivo assegurar proteção as pessoas num âmbito de todos os estados membros da União Européia reforçando as exigências para coleta e tratamento de dados pessoais na internet e fora dela, revogando a Derivativa 95/46 CE, de 1995.
Referido regulamento também incorporou em seus dispositivos “a necessidade de respeito aos conceitos de privacy by design e privacy by default, indicando, ainda, a necessidade de implantação de medidas técnicas e operacionais que restrinjam o processamento de dados àqueles necessários para o propósito específico para os quais foram coletados.4
2 PAESANI, Xxxxxxx Xxxxxxx, Direito e Internet: liberdade de informação, privacidade e responsabilidade civil. São Paulo. Atlas, 2000. Pag. 97
3 XXXXXX, Xxxxx. A quarta revolução industrial. 1. ed. São Paulo, SP: Edipro, 2016. p. 72-77.
4 XXXXXXX, Xxxx. Privacy by Design” e Proteção de Xxxxx Xxxxxxxx. Disponível em < xxxxx://xxx.xxxxxxxxx.xxx.xx/xxxxxxxxxxx-x-xxxxxxxx-xx-xxxxx/xxxxxxx-xx-xxxxxx-x-xxxxxxxx-xx- dados-pessoais/ > Acessado em 30/11/2018.
O novo Regulamento europeu, portanto, indica a tendência evolutiva da legislação internacional de incorporar expressamente obrigações decorrentes da privacy by design e privacy by default, sendo tal tendência legislativa e de mercado também foi positivada pelo Brasil, tornando-se cogente que todos os atores da sociedade a acompanhem, bem como a evolução normativa relacionada à privacidade e proteção de dados pessoais os potenciais impactos em suas atividades empresariais e modelos de negócio.
A necessidade de regulamentação e proteção de dados veio diante de reiterados escândalos que expuseram dados dos usuários, como, por exemplo, os vazamentos de dados envolvendo as empresas Target, PlayStation Network, AOL, CArdSystem, Tianya, Exercito do EUA, dentre outros.
O limite da privacidade no ambiente digital já era objeto de preocupação, inclusive como apontado pelo Xxxxxx Xxxxx Xxxx, em destaque abaixo, que já demonstrava, em 2006, a temática que devia ser enfrentada diante da falta de “precauções” dos usuários da rede:
Anota-se, ainda, que com o advento da Internet e a expansão das técnicas eletrônicas de comunicação no Brasil, a proteção à privacidade assumiu maior relevo. As questões mais polêmicas estão relacionadas à falta de precauções com cookies, base de dados, praticas de spaming e monitoramento de e-mails.
Atualmente, no Congresso Nacional, existem vários Projetos de Lei que tratam da Privacidade na Internet. Destacamos: PL 3.692/97; PL 3.173/97; XX 000/00; PL 1.483/99; PL 000/00; XX 000/00; XX 000/00; PL 3.303/00; XX 000/00; XX 000/00; XX 2.308/00; PL 3.360/00; PL 3.891/00; PL 6.210/01; PL
4.972/01; XX 00/00; XX 00/00; XX 4.906/01; PL 5.165/01; PL 7.093/02; PL
6.210/02; PL 6.541/02; PL 71/02.5
Neste cenário, exigiu-se dos demais países, tanto para a continuidade de acordos comercias como para permanência nas negociações no mercado Europeu, a adequação e aplicação às exigências para coleta, tratamento e armazenamento de dados.
Nesta seara, após um longo período de discussão fora aprovada em 14 de agosto de 2018 a Lei de Proteção de Dados no Brasil nº 13.709 (“LGPD”), que tem por objeto o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger
5 XXXX, Xxxxxx X. X. Opice; XXXXX, Xxxxxx Xxxxx xx Xxxxx e XXXXXXX, Xxxxxxx Xxxxx (coordenadores). Manual de Direito Eletrônico e Internet. São Paulo: Lex Editora, 2006.Pag. 594/595
os direitos fundamentais de liberdade, de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
A Lei de Proteção de Dados no Brasil refletiu boa parte do modelo europeu de proteção de dados, no qual a tutela efetiva desses direitos essencialmente depende de uma autoridade de proteção de dados independente e com corpo técnico qualificado capaz de aplicar e interpretar a lei de modo equilibrado.
Neste tema, há preocupação de como o Brasil irá se preparar na prática e o receio, que alguns já especulam. Isso porque a LGPD estabelece em seu art. 536, que atribuições de eventual órgão competente, ainda inexistente, para zelar pela implementação e fiscalização da lei, ou seja, dependerá da implementação de todo o corpo técnico legal para a efetiva aplicabilidade da lei.
Ademais, referido órgão deverá ser o responsável por elaborar, entre outras coisas, diretriz para uma Política Nacional de Proteção de Dados Pessoais e Privacidade e promover estudos sobre proteção de dados e privacidade.
Embora a legislação nem sempre consiga acompanhar o processo evolutivo das necessidades do meio eletrônico, o nosso ordenamento jurídico garante na Carta Magna de 1988, em seu artigo 5º, no qual se evidencia a liberdade e a segurança, nos termos destacados abaixo:
Art. 5º Todos são iguais perante a lei, sem distinção de qualquer natureza, garantindo-se aos brasileiros e aos estrangeiros residentes no País a inviolabilidade do direito à vida, à liberdade, à igualdade, à segurança e à propriedade, nos termos seguintes:
X - são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação;
XI - a casa é asilo inviolável do indivíduo, ninguém nela podendo penetrar sem consentimento do morador, salvo em caso de flagrante delito ou desastre, ou para prestar socorro, ou, durante o dia, por determinação judicial;
XII - é inviolável o sigilo da correspondência e das comunicações telegráficas, de dados e das comunicações telefônicas, salvo, no último caso, por ordem
6 Art. 53. A autoridade nacional definirá, por meio de regulamento próprio sobre sanções administrativas a infrações a esta Lei, que deverá ser objeto de consulta pública, as metodologias que orientarão o cálculo do valor-base das sanções de multa.
judicial, nas hipóteses e na forma que a lei estabelecer para fins de investigação criminal ou instrução processual penal;7
Assim, a Constituição mesmo que de forma mais abrangente em mencionados dispositivos, tidos como invioláveis, considera garantias constitucionais a imagem, honra, intimidade, a vida privada, o domicílio e ainda a correspondência, podendo, assim, serem considerados como proteção aos dados pessoais tanto no meio físico ou digital. Nesta seara, o mau uso dos meios eletrônicos, acarreta principalmente prejuízo a referidos direitos básicos previsto na Constituição Federal.
Assim, difícil a tarefa de definir os limites da violação ao direito à privacidade da pessoa natural, se este como nas palavras da Paesani destacadas abaixo, é um limite natural ao direito à informação:
O Direito a privacidade ou direito ao resguardo tem como fundamento a defesa da personalidade humana contra injunções ou intromissões alheias. Este direito vem assumindo, aos poucos, maior relevo, com a expansão das novas técnicas de comunicação, que colocam o homem numa exposição permanente.
Tem-se demonstrado particularmente delicada a operação para delimitar a esfera da privacidade, mas é evidente que o direito à privacidade constitui um limite natural ao direito à informação. Em contrapartida, está privada de tutela a divulgação da notícia, quando consentida pela pessoa. Admite-se, porém, o consentimento implícito, quando a pessoa demonstra interesse em divulgar aspectos da própria vida privada.
Entretanto, podem ser impostos limites à normal esfera da privacidade até contra a vontade do indivíduo, mas em correspondência a sua posição na sociedade, se for de relevância pública. Nesses casos, será possível individualizar, se há interesse público em divulgar aspectos da vida privada do indivíduo. O interesse será relevante somente com relação à notícia cujo conhecimento demonstre utilidade para obter elementos de avaliação sobre a pessoa como personalidade pública, limitando, desta forma – e não eliminando – a esfera privada do próprio sujeito.8
Importante também observar que a questão da proteção de dados já esbarrou em outro momento do mundo jurídico com a questão da proteção ao crédito e desenvolvimento econômico, temas que foram trazidos tanto no Decreto nº 6.523, de 31/ de julho de 2008, também conhecido como Lei do SAC e posteriormente na Lei do Cadastro Positivo nº 12.414/2011
8 PAESANI, Xxxxxxx Xxxxxxx, Direito e Internet: liberdade de informação, privacidade e responsabilidade civil. São Paulo. Atlas, 2000. Pag. 48
Essa temática foi enfrentada diante de uma necessidade da proteção à pessoa natural no âmbito principalmente do sistema de crédito. Ao tratar da questão dos bancos de dados de proteção ao crédito e comparar o modelo Europeu com Americano Xxxxxxxx Xxxxx, bem observou que:
Ambos os modelos estabelecem o direito de acesso às informações pessoais, a possibilidade de se exigir retificação dos dados inexatos, a ideia de que os dados devem ser colhidos e utilizados para finalidades legítimas e previamente identificadas, a exigência de que os dados devem ser verdadeiros, atualizados, objetivos, relevantes, não excessivos. Acrescentem-se, ainda, o princípio de que o tratamento de dados devem observar limites temporais, bem como o princípio da segurança, vale dizer, devem ser adotadas medidas de segurança para impedir o acesso não autorizado aos dados.9
Neste sentido, a lei novamente se preocupou com a questão da proteção de dados, tanto quanto a proteção de dados incertos no sistema de proteção ao crédito (negativação indevida), como na própria questão da segurança de tais dados.
Porém, pode se afirmar que no Direito Brasileiro a evolução da legislação no âmbito da internet, teve seu marco com a Lei 12.965/2011 e o Decreto nº 8.771/2016 conhecido como Marco Civil da Internet, que delimita os princípios, garantias, direitos e deveres para o uso da internet no Brasil.
Deste modo, também pode se dizer que o Brasil já regulava a proteção de dados através da Constituição Federal, Código Civil, Código de Defesa do Consumidor, Decreto nº 6.523/2008, Lei 12.414/2011 e Marco Civil da Internet Lei nº 12.965/2014 e Decreto nº 8.771/2016, de uma certa forma, nossa legislação protegia questões relacionadas à proteção de dados.
A proteção de dados é vista, por tais leis, como um processo mais complexo, que envolve a própria participação do indivíduo na sociedade e leva em consideração o contexto no qual lhe é solicitado que revele seus dados, estabelecendo meios de proteção para as ocasiões em que sua liberdade de decidir livremente é cerceada por eventuais condicionantes – proporcionando o efetivo exercício da autodeterminação informativa. Essas leis refletem também a proliferação dos bancos de dados interligados em rede e da crescente dificuldade em localizar fisicamente o armazenamento e a transmissão dos dados pessoais.10
A Lei 12.965/2014, já trouxe a ideia de proteção de dados em seu artigo 7, principalmente no que tange ao consentimento sobre coleta, uso, armazenamento e
9 XXXXX, Xxxxxxxx Xxxxxx. Cadastro Positivo: comentários à Lei 12.414, de 9 de junho de 2011. São Paulo: Revista dos Tribunais, 2011. Pag. 59
10 XXXXXX, Xxxxxx. A Proteção dos Dados Pessoais como um Direito Fundamental. Espaço Jurídico Journal of Law, Xxxxxxx, x. 00, x. 0, x. 00-000, jul./dez. 2011. Pag. 97
tratamento de dados pessoais, e em seu artigo 8º, trouxe a previsão de garantia ao direito à privacidade e à liberdade de expressão, reforçando assim os direitos já assegurados pela Constituição Federal.
No entanto, as previsões normativas não indicam que a proteção realmente acontece na pratica, eis aqui uma crítica e mesmo uma preocupação com a real aplicabilidade das legislações setoriais no que tange à proteção de dados, o real alcance de sua aplicação, conforme pontuado por Xxxxx Xxxxxxx Xxxx e Xxxxxx Xxxxxxx Junior:
Apesar das determinações normativas quanto à necessidade do livre esclarecimento e consentimento como requisito para a coleta, uso, armazenamento, tratamento e proteção de dados pessoais, não é o que se observa em termos práticos. Relatos recentes comprovam a necessidade de efetivação desta proteção, que poderá advir da fase de regulamentação do Marco Civil da Internet, ou de ações judiciais que questionem essas fragilidades.11
A LGPD entra em vigor em 2021, já que a sua vigência foi adiada em virtude da pandemia de coronavírus, para que as pessoas e empresas possam se adequar a cumprir os dispositivos legais de proteção de dados da pessoa natural.
A necessidade para enfrentarmos o debate da proteção de dados, seja para atender a expectativa internacional ou mesmo para de fato encararmos os efetivos problemas de vazamento de dados na rede e o impacto negativo destes acontecimentos na vida dos indivíduos como na economia de modo geral, fez com que o Brasil, debatesse o tema e trouxesse uma legislação para a demanda em questão.
Adicionalmente, convém destacar que o Xxxxx Xxxxx trouxe o Brasil como exemplo na temática de proteção de dados e até mesmo modelo e referência para os demais países latinos americanos, a relevância sendo até comparado com positividade em relação a outros países com a regulamentação sobre o tema. Ressalta-se que em relação à neutralidade de rede, o Brasil – com a aprovação da lei n.12.965, de 23 de abril de 2014, o Marco Civil da Internet – e o Chile – com a lei n.20.453/2011 – são os países que apresentam as regulamentações mais avançadas
11 LIMA. Xxxxx Xxxxxxx. BARRETO JUNIOR. Xxxxxx Xxxxxxxxx. Marco Civil da Internet: Limites da Previsão Legal de Consentimento Expresso e Inequívoco como Proteção Jurídica dos Dados Pessoais na Internet. Florianópolis: CONPEDI. 2018. 61-80. Pag. 74
do ponto de vista da garantia de direitos civis, de promoção da cidadania e do uso democrático da internet.12
Neste contexto, o presente trabalho pretende abordar as possíveis problemáticas do tema no âmbito da relação contratual, visto que já podemos prever que a tarefa de cumprir a lei e interpretar as nuances da lei será difícil para o operador do direito, primeiramente, porque nos aspectos contratuais deverão estar previstas todas as possíveis possibilidades de utilização dos dados coletados, fora do âmbito que a própria lei autoriza, conforme previsto em seu artigo 4.
A LGPD traz duas denominações em seu artigo 37 “Controlador” e “Operador”13 que são os agentes de tratamento de dados pessoais, neste sentido, a tarefa do operador de dados, o que demonstra a princípio deste estudo, a tarefa que mais tem impacto, visto que a lei define que compete ao operador dos dados as decisões referentes ao tratamento de dados pessoais.
Importante destacar o papel do contrato, para que o Controlador possa transferir os dados, é de extrema importância que esteja minuciosamente previsto no bojo do contrato cláusulas contratuais especificas, cláusulas gerais, normas coorporativas globais, além de selos, certificados e códigos de condutas para orientar funcionários práticas de proteção de dados.
A LGPD terá grande impacto nas relações comerciais e de consumo, principalmente no que tange a demanda de solicitação de dados e compartilhamento, pois, hoje muitos grupos empresariais, utilizam dos dados captados em determinados segmentos para outros, principalmente no setor do varejo e as empresas ligadas ao setor financeiro e de crédito.
Conclui-se, portanto, que a proteção de dados trará diversas questões para debate, como por exemplo: quais informações poderão circular? Quais dados serão tratados como extremamente confidenciais? Como repassar informações confidenciais? A LGPD afetará a Cartularidade dos títulos de crédito? Quais impactos
12 XXXXXXXX, Xxxxxxxx; LIMA, Xxxxxxxx Xxxxx Xxxxx de; XXXXX, Xxxx S. Regulamentação da internet: perspectiva comparada entre Brasil, Chile, Espanha, EUA e França. Hist. cienc. saude- Manguinhos, Rio de Janeiro, v. 22
13 Art. 37. O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse.
a empresa ou a pessoa que infringir a lei sofrerá? Entre outros exemplos acima apresentados.
O tema é atual, diante da novidade da referida lei e da vacatio legis para que as empresas e pessoas pudessem se adaptar as novas regras de proteção de dados, buscando assim, subsídios para entender e se adequar ao tema.
Nesse contexto, o presente trabalho aborda o tema não só de maneira principiológica, mas enriquecendo com comparativos a Lei RGPD e os aspectos práticos do cotidiano do mundo empresarial, com enfoque principalmente no direito contratual e todas as implicações para o operador do direito.
Desta forma, o presente estudo abordará os princípios basilares da LGPD, bem como fará a comparação com a Regulamento Geral de Proteção de Dados da União Europeia (“GDPR”), naquilo que for essencial e ou quando couber, completando ainda com aspectos particulares na legislação no Brasil. Por fim, tentará trazer os aspectos relevantes do tema no âmbito do Direito Contratual, podendo assim concluir sua função prática, que é o foco principal do presente estudo.
Diante da necessidade dos operadores do direito se aprofundarem na temática da proteção de dados perante a nova Lei 13.709, que entrará em vigor apenas em 2021, o tema tem se mostrado relevante além de altamente impactante nas relações pessoais e empresariais.
Importante ressaltar que o presente estudo irá abordar a temática da responsabilidade contratual, aprofundando o tema nas cláusulas de responsabilidade, sua exclusão e limitação. Assim, o objetivo do presente trabalho é detalhar o tema de proteção de dados e a nova lei também conhecida como LGPD, abordando também a relevância deste tema no âmbito contratual podendo assim contribuir no estudo deste novo tema, trazendo abordagens e aplicabilidade já utilizadas na Europa para aprofundamento da temática.
Destaca-se por se tratar de tema novo, visto que não temos o tema enfrentado na prática judicial (sanções aplicadas) nem na prática do cotidiano, a dificuldade do presente estudo foi mapear as possíveis problemáticas da lei, conseguir delimitar as questões importantes no âmbito contratual, e até mesmo encontrar material na doutrina e na jurisprudência pátria. Portanto, foram buscadas referências e
orientações de boas práticas já emitidas por entidades de proteção de dados internacionais.
Em se tratando de tema novo, o presente estudo adotou o método dedutivo, realizado a partir de levantamento bibliográfico brasileiro e estrangeiro, artigos, palestras e debates.
Assim, para se alcançar o objetivo, o estudo foi divido em dois capítulos. O capítulo inaugural foi inteiramente dedicado à compreensão dos aspectos gerais da Lei Geral de Proteção de Dados – objeto, principais, objetivos, conceitos legais relevantes e as bases legais que justificam o tratamento de dados. O segundo e principal capítulo pormenorizará tais aspectos da LGPD sob a ótica contratual, destrinchando a Lei e suas principais questões como o escopo de trazer toda a relevância do tema para o direito dos contratos.
1 A LEI GERAL DE PROTEÇÃO DE DADOS BRASILEIRA
1.1 OBJETO DA LEGISLAÇÃO E APLICABILIDADE
Após um longo período de discussão, foi aprovada em 14 de agosto de 2018, a LGPD, que tem por objetivo o tratamento14de dados pessoais15. Da leitura do art. 1º lei em estudo é possível extrair a precisa vontade do legislador:
Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. (BRASIL, 2018).
Observa-se que não tentou o legislador proteger documentos ou informações relacionados às pessoas jurídicas, na medida em que já tutelados em diversos diplomas legais na esfera da propriedade intelectual. Todavia, em pese tais documentos não serem protegidos pela lei em estudo, é importante observar que – caso venham a conter dados de pessoas naturais –, a aplicabilidade da LGPD deverá ser analisada, sendo necessária a realização de um mapeamento detalhado para a correta identificação dos dados contidos em bancos de dados relacionais e, ainda, daqueles dados de difícil indexação, acesso, recuperação e processamento, pois não organizados.16
Nesse sentido, inclusive, é o que pensam Xxxxxx Xxxx e Xxxxxxx Xxxxxxxx, ao afirmarem que:
A parte final do art. 1° não deixa qualquer dúvida que o seu objetivo está intrinsicamente vinculado à proteção dos direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. E a utilização do verbo “proteger”, no art. 1°, também demonstra essa necessidade coerente que o legislador enxergou no titular
14 Art. 5º, X, LGPD: “tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”.
15 Art. 5º, I, LGPD: “dado pessoal: informação relacionada a pessoa natural identificada ou identificável”.
16 XXXXXXXXX, Xxxxxxx Xxxxxxx. LGPD – Lei Geral de Proteção de Dados comentada. Edição do Kindle.
dos dados como vulnerável em comparação com os agentes de tratamento.17
A despeito dos fundamentos da Lei Geral, observamos que o grande objetivo do legislador – e desafio – foi trazer segurança jurídica necessária a todos os atores da sociedade, ao mesmo tempo em que vislumbrou a necessidade de oferecer apoio aos avanços tecnológicos, sem sufocar os novos modelos de negócios, em especial diante da nova sociedade da informação tecnológica em que vivemos, na qual a comunicação e as informações sociais migram para ambientes digitais.18
Pois bem. Superadas essas questões relativas ao objeto de aplicação da LGPD, a seguir passamos a observar os aspectos relacionados à sua aplicação material, com especial enfoque no artigo 3º.
O caput do artigo 3º trata do escopo material de aplicação, delimitando quais atividades estão sujeitas à LGPD, estando abarcadas “qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio”.
Em decorrência disso, podemos dizer que o referido artigo deixa claro que são tutelados pela LGPD, tanto os dados pessoais tratados em estado físico quanto aqueles manipulados no ambiente off-line, na medida em que, apesar da crescente utilização das tecnologias da informação e da comunicação, o legislador não se limitou aos meios digitais. Neste mesmo sentido, observa o jurista Xxxx Xxxxxxx:
Por mais que vivenciemos a era digital, em que dados pessoais usualmente já nascem, são coletados, utilizados e descartados diretamente por meios digitais, de forma dinâmica, é a aplicabilidade da Lei também ao tratamento de dados em estado físico ou off-line, migrando ou não, posteriormente, para o meio digital ou on-line.
(...)
O caput do art. 3° da LGPD dispõe sobre a sua aplicação material, deixando claro que não se importa com o tipo de tecnologia empregada para a realização do tratamento, se por meio digital ou analógico, com o uso de inteligência artificial, de forma automatizada ou manualmente. Assim, aplica-se a LGPD para dados existentes em papel, no histórico de uma clínica hospitalar; na memória do computador de uma instituição
17 XXXX, Xxxxxx; XXXXXXX, Xxxxxxx. Lei Geral de Proteção de Xxxxx Xxxxxxxx comentada. São Paulo: Ed. XX, 0000. p. 59.
18 XXXXXX, Xxxxx. A quarta revolução industrial. 1. ed. São Paulo, SP: Edipro, 2016. p. 74.
financeira que armazena os dados bancários de seu cliente; em uma fita guardada pelo departamento de atendimento ao cliente de um agente de viagens; ou em imagens gravadas em circuito fechado de TV, por exemplo.19
Como se pode depreender, a LGPD possui aplicabilidade ampla, independentemente do uso de tecnologia, haja vista que basicamente toda operação que trate de dados pessoais estará sujeita às previsões contidas em seus artigos, abrangendo, mas não se limitando a relações de consumo, interações no ambiente on-line e questões envolvendo relações empregatícias, de crianças e adolescentes.
Ademais, além de as obrigações e sanções previstas no âmbito da LGPD recaírem sobre toda a pessoa jurídica de direito público ou privado que trate dados pessoais, no caput do artigo 3º há a indicação de que haverá a sua incidência a pessoa física, na hipótese de o tratamento guardar relação com alguma atividade profissional ou comercial. Ou seja, deve haver uma finalidade econômica.
Importantíssimo esclarecer que, por previsão expressa, as disposições da LGPD não são aplicadas ao tratamento de dados pessoais nas situações previstas no artigo 4º, a saber:
I - realizado por pessoa natural para fins exclusivamente particulares e não econômicos;
II - realizado para fins exclusivamente jornalísticos, artístico e acadêmico (aplicando-se a esta última hipótese os arts. 7º e 11 da LGPD);
III - realizado para fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais, ou;
IV - provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto na LGPD.20
Sendo assim, para tornar ainda mais claros os limites de aplicabilidade da lei, chamamos a atenção para a existência de uma lacuna na LGPD no que diz respeito
19 XXXXXXXXX, Xxxxxxx Xxxxxxx. LGPD – Lei Geral de Proteção de Dados comentada. Edição do Kindle.
20 GOVERNO DIGITAL. Guia de Boas Práticas - Lei Geral de Proteção de Dados (LGPD). Disponível em: xxxxx://xxx.xxx.xx/xxxxxxxxxxxxxx/xx-xx/xxxxxxxxxx-xx-xxxxx/xxxx-xxxx.xxx. Acesso em: 24 jun. 2020.
à tutela jurídica dos dados pessoais post mortem, apesar de o debate ter adquirido relevo recente na esfera jurídica internacional, na medida em que o Direito já vem enfrentando diversos desafios relacionados ao que se denominou de “herança digital”.21
Por fim, o GDPR, que excluiu expressamente de seu âmbito de aplicação os dados pessoais de pessoas falecidas é bastante útil ao tema22, pois a tendência é de que a legislação brasileira nela se espelhe, caso venha a incorporar em seu âmbito disposições atinentes aos dados das pessoas falecidas, tendo em vista que para o direito brasileiro a pessoa natural é o próprio ser humano dotado de capacidade.23
1.2 PRINCÍPIOS RELATIVOS AO TRATAMENTO DE DADOS PESSOAIS
Além do princípio da boa-fé, os princípios relativos ao tratamento de dados pessoais estão relacionados nos incisos do artigo 6º da LGDP e visam estabelecer certas limitações ao tratamento de dados. Deste modo, passamos a analisar na sequência todas as dez diretrizes principiológicas que o controlador deverá se atentar para a correta compreensão e interpretação da lei em estudo.
O princípio da finalidade, elencado no inciso I, dispõe que a realização do tratamento deve sempre ter por fim propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades. Logo, a utilização dos dados pessoais sempre deverá observar o motivo que justificou a sua coleta, havendo, por conseguinte um vínculo entre o dado e a sua origem, de modo que a razão que fundamentou a sua coleta sempre deverá ser levada em consideração em qualquer tratamento futuro ou secundário. Para Xxxxxx Xxxxxx, na medida em que o motivo da coleta deve ser compatível com o
21AB2L. Proteção post mortem dos dados pessoais?. Disponível em:
<xxxxx://xxx.xx0x.xxx.xx/xxxxxxxx-xxxx-xxxxxx-xxx-xxxxx-xxxxxxxx/>. Acesso em: 7 jul. 2020.
22 Consideranda 27, GDPR: “O presente regulamento não se aplica aos dados pessoais de pessoas falecidas. Os Estados-Membros poderão estabelecer regras para o tratamento dos dados pessoais de pessoas falecidas.”
23 De acordo com o artigo 2º do Código Civil.
objetivo final do tratamento dos dados, tal princípio carrega em seu núcleo de forma mais incisiva os traços característicos da matéria de proteção de dados pessoais.24
Já o princípio da adequação, previsto no inciso II, é umbilicalmente conexo ao princípio da finalidade, pois exige a “compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento”. Assim, o tratamento de dados “somente pode ser realizado quando houver compatibilidade com as finalidades informadas ao titular, de acordo com o contexto do tratamento”.25
No inciso III verifica-se o princípio da necessidade, que, por sua vez, está umbilicalmente conexo aos princípios anteriores, da finalidade e da adequação, visto limita a coleta de dados ao que é realmente relevante e necessário (mínimo necessário) para o alcance do propósito específico. Deste modo, como o objetivo de alcançar um grau confortável de segurança jurídica, recomenda-se que, tanto na coleta quanto no tratamento, o controlador sempre se questione quais dados pessoais são realmente necessários em relação aos objetivos do tratamento.26
O inciso IV traz em seu bojo o princípio do livre acesso, sendo definido como a “garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais”. Trata-se, pois, do direito que o titular possui de controlar o uso de seus dados, além de ser informado acerca do propósito do tratamento. De forma prática, é necessário que sejam adotas medidas que garantam ao titular o livre acesso aos seus próprios dados, de modo que possa exercer fiscalização e controle sobre a sua integridade. O artigo 9º da LGPD reforça o referido comando principiológico, já que elenca de forma adicional algumas informações que devem ser colocadas à disposição do titular de forma clara, adequada e ostensiva acerca da finalidade específica do tratamento, forma e duração do tratamento, identificação do controlador, informações de contato do controlador,
24 XXXXXX, Xxxxxx. Princípios de Proteção de Dados Pessoais. In: LUCCA, Xxxxxx de; XXXXX XXXXX; Xxxxxxxxx; LIMA, Xxxxxx Xxxx Xxxxxxx de (Coord.). Direito & Internet III: Marco civil de internet. Quartier Latin, 2015. t. I. p. 378.
25 XXXXXXXXX, Xxxxxxx Xxxxxxx. LGPD – Lei Geral de Proteção de Dados comentada. Edição do Kindle.
26 XXXXXXX, Xxxx. Comentários ao GDPR: Regulamento Geral de Proteção de Dados da União Europeia. 1. ed. São Paulo: Thomson Reauters Brasil, 2018. p. 62.
informações acerca do uso compartilhado de dados pelo controlador, responsabilidades dos agentes que realizarão o tratamento e direitos do titular.
Acerca do princípio da qualidade dos dados, o inciso V da LGPD prevê a “garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento”. Com efeito, o tratamento de dados deve ser exato e atualizado sempre que necessário, de acordo com a finalidade do tratamento. Tal princípio também pode ser entendido como o direito que titular possui de solicitar ao responsável pelo tratamento a correção dos seus dados pessoais que estejam eventualmente inexatos, incompletos ou desatualizados.27 Resta evidenciado, portanto, que a legislação não se preocupa tão somente com a privacidade dos titulares, mas também com a identidade da pessoa natural, haja vista que imprecisões na fonte de dados podem resultar em tratamentos permanentemente incorretos, como, por exemplo, a recusa de concessão de crédito ao titular por parte de instituições financeiras em virtude de uma divergência entre o nome e o número do Cadastro de Pessoa Física – CPF.
O princípio da transparência, disposto no inciso VI, garante aos titulares o fornecimento de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial. A necessidade de se prever referido princípio está no fato simples fato de que não há como garantir a tutela dos direitos fundamentais, por meio do tratamento seguro dos dados pessoais, sem que o titular tenha conhecimento pleno de quem é o responsável pelo tratamento e sobre as atividades executadas no âmbito do tratamento, com informações claras, precisas e facilmente acessíveis.28
O princípio da segurança, previsto de forma certeira no inciso VII, exige a “utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão”. Assim, por expressa previsão legal, os dados pessoais dever ser tratados em ambiente seguro, de modo que seja adotada uma forte postura de segurança, a fim de afastar a possibilidade de o dado ser tratado de forma
27 XXXXX, Xxxxxxxx Xxxxxxx. LGPD – Lei Geral de Proteção de Dados comentada. Edição do Kindle.
28 CONJUR. Os princípios no tratamento de dados na LGPD (Lei Geral da Proteção de Xxxxx Xxxxxxxx). Disponível em: xxxxx://xxx.xxxxxx.xxx.xx/xx/xxxxxx-xxxxxx-xxxxxxx-xxxx.xxx. Acesso em: 15 jun. 2020.
ilícita, ou, até mesmo, destruído acidentalmente. Daí se extrai a importância da atuação preventiva do controlador, pois é de conhecimento geral que a ocorrência de um incidente de segurança relativo aos dados, que é a violação de dados pessoais, ainda que de forma acidental, trata-se da situação mais crítica a ser enfrentada no tratamento de dados pessoais, na medida em que pode impor risco ou elevado risco aos direitos dos titulares.
Já o inciso VIII traz o princípio da prevenção, segundo o qual deve haver a “adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais”. Importante consignar que, embora possua conexão com o princípio da segurança, o princípio da prevenção com este não se confunde, na medida em que o que se espera é a mitigação dos riscos desde antes do tratamento, haja vista que a hipótese de violação de dados pessoais está sempre presente, desde o momento da coleta até a exclusão definitiva dos dados.
Na sequência, segue-se o princípio da não discriminação, alocado no inciso IX, que impossibilita a realização do tratamento para fins discriminatórios ilícitos ou abusivos. Observa-se que legislador pretendeu evitar o manuseio imoderado dos dados pessoais, diante da possibilidade de se estigmatizar e/ou segregar o ser humano a partir do tratamento de suas informações pessoais.
Arrematando o rol do artigo 6º, o inciso X prevê, de forma expressa, a necessidade de se observar o princípio da responsabilização e prestação de contas, que, por sua vez, indica a necessidade de “demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas”. Assim, exige-se que os controladores e operadores demonstrem a adoção de medidas que sejam, de fato, eficazes. Ou seja, não basta não basta que os controladores e os operadores tenham agido com boa-fé, na medida em que são eles os responsáveis pelo fiel cumprimento de todas as exigências legais para garantir todos os objetivos, fundamentos e demais princípios estabelecidos na LGPD.29
29 CONJUR. Os princípios no tratamento de dados na LGPD (Lei Geral da Proteção de Xxxxx Xxxxxxxx). Disponível em: xxxxx://xxx.xxxxxx.xxx.xx/xx/xxxxxx-xxxxxx-xxxxxxx-xxxx.xxx. Acesso em: 15 jun. 2020.
Os princípios gerais de proteção de dados citados acima serão a base de toda a regulamentação acerca do tratamento de dados; todavia, além dos princípios trazidos no âmbito do artigo 6º da lei em estudo, os agentes responsáveis pelo tratamento de dados pessoais também deverão observar os conceitos do privacy by design e do privacy by default refletidos no bojo do § 2º, do artigo 46, da LGPD. Confira-se:
Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
(...)
§ 2º As medidas de que trata o caput deste artigo deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução. (BRASIL, 2018).
Note-se que extraímos os conceitos do privacy by design e do privacy by default da dicção do §2º, do artigo supra, diante da necessidade de se observar as medidas de segurança mencionadas no caput “desde a fase de concepção do produto ou do serviço até a sua execução”. Nesse sentido, são importantes as considerações de Xxxxxxx do Valle Jimene:
O termo privacy by design refere-se à metodologia que visa proteger a privacidade do usuário desde a concepção de quaisquer sistemas de tecnologia da informação ou de práticas de negócio que sejam concernentes ao ser humano. Assim, a proteção da privacidade seria o ponto de partida para o desenvolvimento de qualquer projeto, sendo incorporada à própria arquitetura técnica dos produtos ou serviços.30
Em suma, o privacy by design trata-se de um conceito com natureza principiológica, na medida em que “guia seus tutelados de forma a projetar, construir e implementar suas tecnologias tendo como foco e objetivo principal a segurança e a privacidade dos dados”.31 Nessa esteira, como desdobramento da aplicação do privacy by design, surgiu o conceito privacy by default, que consiste na adoção da
30 XXXXXX, Xxxxxx do Vale. Comentários ao GDPR: Regulamento Geral de Proteção de Dados da União Europeia. 1. ed. São Paulo: Thomson Reauters Brasil, 2018. p. 173.
31 XXX.XXX.XX. PRIVACY BY DESIGN” E COMPLIANCE NA LGPD. Disponível em: xxxxx://xxx.xxx.xx/xxxxxxx/00000/xxxxxxx-xx-xxxxxx-x-xxxxxxxxxx-xx-xxxx. Acesso em: 29 jun. 2020
privacidade mais restritiva possível como configuração padrão na fase da coleta de dados.
Esse conceito significa que, assim que um produto ou serviço for lançado ao público, as configurações mais seguras de privacidade deverão ser aplicadas por padrão, sem nenhuma entrada manual do usuário final. Além disso, todos os dados pessoais fornecidos pelo usuário para permitir o uso ideal de um produto devem ser mantidos apenas pelo tempo necessário para fornecer o produto ou serviço. Se mais informações do que o necessário para fornecer o serviço forem divulgadas, esse conceito será violado.32
No ano de 2009, Xxx Xxxxxxxxx aprofundou os seus estudo e consolidou os princípios33 do privacy by design. De forma concisa, são eles: (i) proatividade e prevenção; (ii) privacidade por padrão; (iii) privacidade embarcada no design; (iv) funcionalidade integral; (v) segurança em todo o ciclo de vida da informação; (vi) transparência; e, (vii) respeito à privacidade do usuário.
Entendemos, particularmente, que o que torna as abordagens do privacy by design e do privacy by default brilhantes é sinergia entre o direito e a aplicação pratica da tecnologia. Tanto é que tais conceitos foram reconhecidos internacionalmente, sendo incorporados pela GDPR e, mais tarde, esta tendência refletiu na legislação brasileira que as positivou no dispositivo legal em estudo.
1.3 BASES LEGAIS PARA O TRATAMENTO DE DADOS PESSOAIS
Inicialmente, antes passarmos para os comentários específicos acerca das bases legais, importante apenas relembrar os conceitos de “tratamento” e de “dados pessoais” dispostos no artigo 5°, incisos I e X, da lei em estudo.
32 PRIVACY TECH. Privacy by Design e by Default: entenda a diferença. Disponível em: xxxxx://xxxxxxxxxxx.xxx.xx/xxxxxxxx/xxxxxxx-xx-xxxxxx-x-xx-xxxxxxx-xxxxxxx-x-xxxxxxxxx,000000.xxxxx. Acesso em: 03 jun. 2020.
00XXX.XX.XX. Privacy by Design: The 7 Foundational Principles. Disponível em:
<xxxxx://xxx.xxx.xx.xx/xx-xxxxxxx/xxxxxxx/Xxxxxxxxx/0xxxxxxxxxxxxxxxxxxxxxx.xxx>. Acesso em: 1 jun. 2020.
A LGPD estabelece em seu artigo 5º, inciso I, como dados pessoais, a “informação relacionada a pessoa natural identificada ou identificável”. O Brasil adotou o conceito expansionista de dado pessoal34, pelo qual “é considerada identificável uma pessoa natural que possa ser identificada, direta ou indiretamente”35. Deste modo, não somente a informação relativa a pessoa diretamente identificada estará protegida pela lei, mas também aquela informação que tem o potencial de tornar a pessoa identificável.36
Tal como delineado no primeiro tópico do presente estudo, a LGPD não trata de qualquer tipo de dado, mas apenas de dados pessoais, o que significa dizer que é imprescindível que o dado esteja vinculado a uma pessoa natural identificada ou identificável. Nessa esteira, Xxxxxx Xxxxxx bem pontua que é de extrema relevância a distinção entre dados gerais e dados pessoais, pois estes últimos revelam aspectos dizem respeito a uma pessoa, possuindo, portanto, vínculo objetivo com ela.37
O conceito de “tratamento”, por sua vez, foi definido no inciso X do mesmo artigo, que engloba “toda operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”. Verifica-se, pois, que a LGPD visa proteger os dados pessoais em todo o seu ciclo de vida, que, de forma concisa, se inicia com a coleta, passa pelo uso, compartilhamento e armazenamento, findando-se com a sua exclusão.
34 XXXXXXXX, Xxxx X.; XXXXXX, Xxxxxx X. The Pii problem: privacy and a new concept of personally identifiable information. Berkeley Law. p. 1814-1894. 01.01.2011. Disponível em: [xxxxx://xxxxxxxxxxx.xxx.xxxxxxxx.xxx/xxx/xxxxxxxxxxx.xxx?xxxxxxxx0000&xxxxxxxxxxxxxxx]. Acesso em: 30.01.2020.
35 XXXXXXX, Xxxx. Comentários ao GDPR: Regulamento Geral de Proteção de Dados da União Europeia. 1. ed. São Paulo: Thomson Reauters Brasil, 2018. x. 00.
00 XXXX, Xxxx Xxxxx Xxxx. LGPD – Lei Geral de Proteção de Dados comentada . Edição do Kindle.
37 XXXXXX, Xxxxxx. Da privacidade à proteção de dados pessoais. Rio de Janeiro: Xxxxxxx, 0000. p. 157.
Assim, a correta interpretação da expressão “tratamento de dados pessoais” deve incluir toda operação realizada com dados pessoais aí se incluindo, a coleta, o acesso, distribuição, armazenamento, eliminação, a estes não se limitando.38
Entendido o conceito de “tratamento de dados pessoais”, convém retornar o curso natural deste estudo, e o fazemos afirmando que, além de o agente de tratamento de dados pessoais se atentar ao cumprimento de todos os princípios, como finalidade, adequação, necessidade ou livre acesso, por exemplo, também deverá avaliar o atendimento de ao menos uma das bases legais para o tratamento de dados pessoais, os quais passam a ser analisados na sequência.
A LGPD trata do assunto de forma bastante clara, elencando de forma taxativa, no artigo 7°, as bases legais que legitimam o tratamento de dados pessoais. De forma concisa, são elas39:
i) Consentimento: Conforme disposto no artigo 5°, XII da LGPD, consentimento é a “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”. Importante destacar que o consentimento trata-se apenas de uma das dez hipóteses legais trazidas na legislação, sendo que todas as outras nove hipóteses existentes independem do consentimento para que sejam tidas como válidas.
ii) Cumprimento de obrigação legal: justifica-se o tratamento de dados na hipótese de existir determinação legal ou regulatória que recaia sobre o controlador. À título ilustrativo, podemos citar as normas que regulam o setor financeiro, que obrigam a guarda das informações sobre as transações financeiras pelas instituições bancárias por longos períodos de tempo.
iii) Execução de políticas públicas: a administração pública poderá realizar o compartilhamento de dados, desde que finalidade seja tão somente a execução de políticas públicas previstas na legislação de forma expressa.
38 UOL. Entenda a nova lei de tratamento de dados pessoais aprovada na Câmara. Disponível em: xxxxx://xxx.xxx.xxx.xx/xxxx/xxxxxxxx/xxxxxxx/0000/00/00/xxxxxxx-x-xxxx-xxx-xx-xxxxxxxxxx-xx-xxxxx- pessoais-aprovada-na-camara.htm. Acesso em: 30 jun. 2020.
39 XXXX, Xxxx Xxxxx Xxxxxxxx. LGPD – Lei Geral de Proteção de Dados comentada . Edição do Kindle.
iv) Estudos por órgão de pesquisa: a entidade pública ou privada, desde que considerada órgão de pesquisa pela LGPD, poderá efetuar o tratamento de dados pessoais, a fim de que sejam realizadas pesquisas de caráter histórico, tecnológico ou estatístico.
v) Execução de contrato ou diligências pré-contratuais: Trata-se da hipótese de tratamento de dados ocorrer no âmbito da execução de um contrato. Estamos, portanto, diante do caso em que determinados dados pessoais precisam ser tratados, a fim de que seja possível a execução de contratos, a pedido do titular dos dados. Nesse passo, procedimentos que ocorram antes da formalização do contrato em que o titular seja parte também ensejam o tratamento de dados pessoais, desde que haja solicitação nesse mesmo sentido.
vi) Exercício regular de direitos em processo judicial, administrativo ou arbitral: tendo em vista que para o exercício de direitos em processos em geral há situações em que determinados dados pessoais poderão servir de elemento fundamental, o legislador entendeu por bem em prever expressamente possibilidade de armazenamento de dados pessoais, desde que seja tão somente para esta finalidade, e enquanto prevalecer tal necessidade.
vii) Proteção da vida: Estamos diante de um dos critérios mais restritivos e menos utilizados, na medida em que exige que o tratamento de dados pessoais esteja diretamente relacionado a questões graves e que ponham em risco a vida ou a integridade física do titular.
viii) Tutela da saúde: Os profissionais e entidades da área da saúde poderão arguir dessa base legal, a fim de justificar o tratamento de dados, desde que com o objetivo específico seja a tutela da saúde, sendo expressamente proibido qualquer outro uso que desvirtue essa finalidade.
ix) Interesses legítimos do controlador ou de terceiro: terceiros poderão se valer dessa base legal para o tratamento dos dados, de acordo com o disposto no artigo 10, da LGPD.
x) Proteção ao crédito: Informações acerca de eventual inadimplência sobre o titular poderão ser tratadas, desde que o objetivo seja a realização de análises preliminares que embasem decisões que versem sobre a concessão ou não de crédito. Importantíssimo destacar que nesta hipótese, além das disposições contidas no âmbito da LGPD, também deverão ser observadas as determinações da Lei do Cadastro Positivo (Lei 12.414, de 9 de junho de 2011)
e do Código de Proteção e Defesa do Consumidor (Lei 8.078, de 11 de setembro de 1990).
Feitas essas observações, passamos a observar as bases legais que justificam o tratamento de dados pessoais sensíveis.
1.4 BASES LEGAIS PARA O TRATAMENTO DE DADOS SENSÍVEIS
No artigo 5º a LGPD evolui sobre o conceito de dados pessoais sensíveis, trazendo a sua definição no art. 5º, inciso II, que, por seu turno considera sensível o dado pessoal que verse sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
Os dados pessoais sensíveis, em linhas gerais, são dados pessoais que possam trazer algum tipo de discriminação quando do seu tratamento (origem racial, convicção religiosa, opinião política, dado referente à saúde, para citar alguns exemplos) bem como, diante da sua criticidade, dados genéticos e biométricos. Ou seja, são dados pessoais que poderão implicar riscos e vulnerabilidades potencialmente mais gravosas aos direitos e liberdades fundamentais dos titulares.40
O art. 11 da LGPD, por sua vez, elenca as bases legais que justificam o tratamento de dados pessoais sensíveis de forma diferenciada e mais restritiva. De forma concisa, são elas: (i) consentimento de forma específica e destacada para finalidades específicas; (ii) realização de estudos por órgão de pesquisa; (iii) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; (iv) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos; (v) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
(vi) proteção da vida ou da incolumidade física do titular ou de terceiro; (vii) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral; e, (viii) cumprimento de obrigação legal ou regulatória pelo controlador.
40 XXXXXXXXX, Xxxxxxx Xxxxxxx. LGPD – Lei Geral de Proteção de Dados comentada. Edição do Kindle.
Diante da sua criticidade, observa-se que a LGPD restringiu o tratamento de dados pessoais sensíveis, na medida em que o artigo 11 não prevê base legal que justifique o referido tratamento por interesse legítimo, para fins de proteção do crédito, execução de contrato ou procedimentos pré-contratuais.
Nessa esteira, importante destacar que, no tratamento de dado sensível, o legislador previu base legal específica quando o tratamento de dado sensível servir para garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos.
Por fim, cumpre observar que as disposições do artigo 11 devem ser aplicadas de forma ampla, na medida em que há situações em que o tratamento de dados pessoais pode revelar dados sensíveis. Exemplo disso é o conjunto e dados de localização coletados por aplicativos de transporte privado que num primeiro momento são considerados dados pessoais, mas podem inferir a religião, orientação sexual e preferências políticas dos usuários.
1.5 DADOS ANONIMIZADOS, PSEUDOMINIZADOS E ANONIMIZAÇÃO
Neste tópico, analisaremos três conceitos fundamentais para a ampla e correta interpretação da LGPD: (i) dados anonimizados; (ii) anonimização; e (iii) dados psedonimizados. Em suma, entendê-los significa saber atribuir, de forma acertada, as responsabilidades derivadas da LGPD, especialmente nas relações contratuais – tema central do presente estudo.
O “dado anonimizado” conforme conceitua o inciso III do artigo 5º, deve ser dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento. Ou seja, dado relativo a titular que não possa ser identificado ou reidentificado, o que resulta na inaplicabilidade da LGPD para tal tipo de dado.41 Para melhor compreensão do instituto jurídico, podemos citar os gráficos demográficos produzidos pelo IBGE como sendo um exemplo prático de dado anonimizado, haja vista que apenas assinalam o desenvolvimento industrial, econômico e social das populações em um período do tempo, sem identificar os indivíduos titulares.
41 XXXXXXX, Xxxx. Comentários ao GDPR: Regulamento Geral de Proteção de Dados da União Europeia. 1. ed. São Paulo: Thomson Reauters Brasil, 2018. p. 50.
Já “anonimização” é conceitualmente considerada como sendo a utilização propriamente dita de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo (art. 5º, XI, da LGPD).
Conforme mencionado, a proteção da LGPD é afastada na medida em que os dados anonimizados não serão considerados dados pessoais, salvo quando o processo de anonimização ao qual foram submetidos for revertido. Concluímos, portanto, que para o legislador brasileiro os dados anonimizados são sempre passíveis de reversão.42
Já a “pseudonimização”, para os efeitos da LGPD, corresponde ao “tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro” (art. 13, §4º da LGPD). De forma prática, a técnica pseudonimização corresponde à aplicação de criptografia com chave secreta, da função hash codificada com chave de armazenamento ou, ainda, da tokenização, pelo agente de tratamento de dados, com o intuito de afastar a possibilidade de associação, direta ou indireta, de um dado pessoal a um indivíduo.
Ao analisar as limitações de processos de anonimização, no âmbito do artigo entitulado “Compreendendo o conceito de anonimização e dado anonimizado”, Xxxxx Xxxxx contribuiu para a correta compreensão da técnica de pseudonimização:
Para muitos, a pseudonimização não é considerada uma técnica de anonimização. Isso porque se substituem, apenas, os identificadores diretos – e.g., nome, CPF etc. – por pseudônimos
– e.g., números aleatórios, de modo que a pessoa permanece sendo identificável em razão de tais pseudônimos serem um retrato detalhado indireto delas. 43
Bem observado por Xxxxx Xxxxx, que enquanto na GDPR a pseudonimização figura como uma procedimento exaustivamente exemplificado, especialmente porque a legislação europeia preocupa-se em atender os conceitos de Data Protection by
42 Cadernos Jurídicos. Direito Digital e proteção de dados pessoais. Escola Paulista da Magistratura, ano 21, nº53, p. 1-202, Jan.-Mar./2020. Disponível em:<xxxxx://xxx.xxxx.xxx.xx/Xxxxxxxxxxx/XxxxxxxXxxxxxxx/00000>. Acesso em: 18 jun.2020.
43 Cadernos Jurídicos. Direito Digital e proteção de dados pessoais. Escola Paulista da Magistratura, ano 21, nº53, p. 1-202, Jan.-Mar./2020. Disponível em:
<xxxxx://xxx.xxxx.xxx.xx/Xxxxxxxxxxx/XxxxxxxXxxxxxxx/00000>. Acesso em: 18 jun. 2020.
Design e by Xxxxxxx, a LGPD apenas citou pseudoanonimização de forma desorganizada, não sistematizando adequadamente a sua figura.
1.6 A AUTODETERMINAÇÃO INFORMATIVA E A RESPONSABILIDADE CIVIL NO TRATAMENTO DE DADOS
A LGPD elegeu como fundamento, dentre outros, a “autodeterminação Informativa”44, que corresponde ao direito do titular dos dados de escolher quais dados poderão ser tratados, bem como os limites e o prazo desse uso. O conceito de autodeterminação informativa não é novo; contudo, dentro do contexto social trazido pela sociedade da informação ganha nova roupagem e maior relevância, na medida em que considera o indivíduo titular dos dados pessoais como “protagonista das matérias relacionadas ao tratamento de seus dados pessoais, trazendo ao sujeito o foco das operações em preocupação perpétua com a privacidade.”45
Em outras palavras: o indivíduo titular dos dados figura como personagem central dotado de “poder permanente de controle sobre seus próprios dados”46 no âmbito das relações jurídicas que envolvam o tratamento de dados, ainda que no cenário atual predomine o tratamento massificado de dados e informações. Nesse mesmo sentido, Xxxxxx Xxxxxx assevera que a autodeterminação informativa corresponde ao direito individual de eleger quais dados pessoais serão usados, bem como os limites e o prazo de sua utilização.47
Nessa esteira, com o intuito de garantir efetividade ao fundamento da autodeterminação informativa, o Capítulo III trata “Dos Direitos do Titular”, sendo composto pelos artigos 17, 18, 19, 20, 21 e 22 e seus diversos incisos. No seio desses dispositivos, encontram-se os direitos dos titulares, entre eles: confirmação da
44 Vide inciso III, do art. 2º, da LGPD.
45 TRIPLA IT. Fundamentos da autodeterminação informativa. Disponível em: <xxxxx://xxxxxxxx.xxx/x- autodeterminacao-informativa/>. Acesso em: 15 jun. 2020.
46 XXXXXX, Xxxxxxx. A vida na sociedade da vigilância: a privacidade hoje. Rio de Janeiro: Xxxxxxx, 0000. passim.
47 XXXXXX, Xxxxxx. Da privacidade à proteção de dados pessoais. Rio de Janeiro: Xxxxxxx, 0000, p. 196.
existência de tratamento, acesso, correção, eliminação de dados desnecessários, informação, revogação do consentimento, entre outros.
Necessário destacar que o rol de obrigações previsto no Capítulo III, é direcionado àqueles que exercem efetivamente o tratamento de dados – ou seja, os “agentes de tratamento”48 –, sendo que o legislador teve o cuidado de diferenciar os deveres do controlador49 e do operador50, conforme a relação destes com o tratamento.
Ao analisar a relação de tratamento de dados sob a ótica civilista, Xxxxxx Xxxxxx Xxxxxxxx destaca, ainda, a existência da figura do encarregado51 na relação de tratamento de dados:
Sob uma visão civilista, o controlador seria o mandante, e o operador, o mandatário. Xxxxxx possa se aventar a hipótese de que a relação controlador-operador constitua modalidade especial de mandato, própria das relações que envolvam tratamento de dados pessoais. Há ainda nessa relação jurídica um outro ator: o encarregado, pessoa natural ou jurídica, integrante ou não dos quadros do controlador ou do operador, que exerça, dentre outras funções, a intermediação entre os demais atores, especialmente a Autoridade Nacional de Proteção de Dados (ANPD) e, ainda, orienta a aplicação das normas de proteção de dados.52
Observe-se, portanto, o tratamento de dados pessoais revela-se uma relação complexa, na medida em que identificamos a existência de diversos atores e desafios a serem enfrentados, tanto no setor privado quanto público. Ademais, outro ponto relevante está no fato de que a não observância das disposições contidas na lei em estudo podem culminar, além da aplicação de sanções administrativas, em ações judiciais de responsabilidade civil. Deste modo, passamos na sequência a analisar de
48 Art. 5º: “IX – agentes de tratamento: o controlador e o operador.
49 Art. 5º: “VI – controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais”.
50 Art. 5º: “VII – operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador”.
51 Art. 5º: “VIII – encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)”.
52 Cadernos Jurídicos. Direito Digital e proteção de dados pessoais. Escola Paulista da Magistratura, ano 21, nº53, p. 1-202, Jan.-Mar./2020. Disponível em: < xxxxx://xxx.xxxx.xxx.xx/Xxxxxxxxxxx/XxxxxxxXxxxxxxx/00000 >. Acesso em: 18 jun.2020.
forma mais detalhada as disposições da LGPD que versam sobre a responsabilidade civil dos envolvidos.
Dando sequência ao estudo da legislação propriamente dita, destacamos, inicialmente, o caput do artigo 42 da Lei Geral de Proteção de Dados que estabelece a responsabilidade civil dos agentes de tratamento sempre que, em razão do exercício de atividade de tratamento de dados pessoais, causarem ao titular do dado, dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.
O inciso I, do §1º revela-se um importante mitigador de responsabilidade ao controlador, no caso de culpa do operador, na medida em que prevê a responsabilização solidária do operador pelos danos causados pelo tratamento quando deixar de cumprir as obrigações da legislação ou, ainda, quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador será equiparado ao controlador, salvo nos casos de exclusão previstos no art. 43, que será objeto de análise mais adiante.
A responsabilização solidária entre os controladores diretamente envolvidos no tratamento ficou reservada ao inciso II do §1º do artigo 42, o que foi percebido pela comunidade jurídica como sendo um ponto extremamente positivo, já que é corriqueiro nas relações negociais a existência de mais de um controlador.
Nessa esteira, ao analisar a eventual aplicabilidade da responsabilidade subjetiva ou objetiva, Xxxxxx Xxxxx xx Xxxxx Xxxxx assevera que o artigo 42 da LGPD não foi exatamente claro nesse sentido; todavia, podemos extrair do artigo 4553 uma hipótese de responsabilização objetiva, já que aplicável o Código de Proteção e Defesa do Consumidor (Lei 8.078/90), caso a violação ao direito do titular ocorra no âmbito das relações de consumo.54
Nesse cenário, a doutrina sustenta que nas hipóteses de violação do direito do titular que não tenham sejam oriundas de relações de consumo, a regra geral da
53 Art. 45, LGPD: “As hipóteses de violação do direito do titular no âmbito das relações de consumo permanecem sujeitas às regras de responsabilidade previstas na legislação pertinente.”
54 XXXXX, Xxxxxx Xxxxx xx Xxxxx. Dos agentes de tratamento de dados pessoais. In: XXXXXXXXX, Xxxxxxx Xxxxxxx; XXXX, Xxxxxx Xxxxx. LGPD: Lei Geral de Proteção de Dados comentada. São Paulo: Revista dos Tribunais, 2019, p. 323.
LGPD é mesma adotada pelo Direito Brasileiro, ou seja, a da responsabilidade civil subjetiva, “admitida, em algumas hipóteses específicas, a responsabilidade civil objetiva, de acordo com a natureza da atividade de tratamento de dados pessoais.”55 Neste ponto, convém destacar que a despeito da responsabilidade vir a ser subjetiva ou objetiva, é requisito essencial a demonstração efetivado dano, ressalvadas as hipóteses em que o dano é presumido.
Adicionalmente, importante pontuar que a LGPD deixou de dispor de forma direta sobre responsabilidade civil do encarregado, contudo o § 4º do artigo 42 rege a relação entre os agentes de tratamento envolvidos em cadeia no evento danoso, na medida em que assegura o direito de regresso daquele que for eventualmente responsabilizado de forma solidária em face dos demais responsáveis pelo dano, na medida de sua participação para o evento.
Já as hipóteses de exclusão da responsabilidade estão previstas de forma bastante objetiva nos incisos do artigo 43, quais sejam: (i) caso os agentes de tratamento não realizem o tratamento de dados a que lhe é atribuído; (ii) caso seja verificada a ausência de violação à legislação de proteção de dados pelos agentes de tratamento; e, (iii) caso o dano seja decorrente de culpa exclusiva do titular dos dados ou de terceiro.
O objetivo do legislador ao prever a primeira hipótese foi o de proteger os agentes de tratamento de dados que são demandados pelo indivíduo titular dos dados de forma equivocada – ele acredita que uma determinada empresa é a responsável pelo tratamento do dado, mas não é.
A segunda hipótese de exclusão de responsabilidade não carece de maiores explicações; contudo, vale comentar que, para a doutrina mais conservadora56, a responsabilidade civil em matéria de dados pessoais não nasce apenas da violação à legislação de proteção de dados – aqui conceitualmente entendida como sendo um microssistema jurídico de proteção de dados, que abarca, além da LGPD, as demais normas previstas em outras leis –, mas também da violação direta às normas técnicas
55 XXXXXXXXX, Xxxxxxx Xxxxxxx. LGPD – Lei Geral de Proteção de Dados comentada. Edição do Kindle.
56 Cadernos Jurídicos. Direito Digital e proteção de dados pessoais. Escola Paulista da Magistratura, ano 21, nº53, p. 1-202, Jan.-Mar./2020. Disponível em: < xxxxx://xxx.xxxx.xxx.xx/Xxxxxxxxxxx/XxxxxxxXxxxxxxx/00000 >. Acesso em: 18 jun.2020.
de segurança e proteção de dados, tendo em vista que o princípio da segurança exige a adoção de medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais.
A Lei Geral de Proteção de Dados cumpre o papel inovador do critério binário de imputação consistente na culpa ou no risco, ao prever que, no contexto do tratamento de dados pessoais, há deveres antes não enunciados explicitamente, mas agora tratados de forma categórica pela Lei a impor aos agentes de tratamento, os deveres de prevenção de incidentes, vigilância e segurança nas operações de tratamento de dados pessoais.57
Por fim, observa-se que o legislador, atento ao fato de que nenhum sistema é a prova de falha e ataques, previu na terceira hipótese o afastamento do nexo causal existente entre dano e o agente de tratamento, caso a culpa seja exclusiva do titular dos dados ou de terceiros. À título exemplificativo, podemos citar o caso em que o agente de tratamento adota as melhores práticas técnicas e de segurança colocadas à sua disposição, mas mesmo assim se vê vítima de inovadoras técnicas de invasão, seja por culpa exclusiva do titular ou de terceiros (hackers).58
57 Cadernos Jurídicos. Direito Digital e proteção de dados pessoais. Escola Paulista da Magistratura, ano 21, nº53, p. 1-202, Jan.-Mar./2020. Disponível em:
<xxxxx://xxx.xxxx.xxx.xx/Xxxxxxxxxxx/XxxxxxxXxxxxxxx/00000 >. Acesso em: 18 jun.2020.
58 LAGO XXXXXX, Xxxxxxx. Responsabilidade civil por atos ilícitos na Internet. São Paulo: Ed. LTr, 2001.
.
2 A PROTEÇÃO DE DADOS NA RELAÇÃO CONTRATUAL
2.1 A FIGURA DO CONTROLADOR E DO OPERADOR NA RELAÇÃO CONTRATUAL
E chegamos ao tema principal, após analisarmos os aspectos indispensáveis para a compreensão da Lei em estudo.
Muito se tem falado sobre a LGPD, tanto no setor público quanto na perspectiva empresarial privada. Assim, um de seus pontos mais relevantes é sua aplicação prática de tratamento de dados no âmbito das relações contratuais. Primeiro porque a análise de grandes volumes dados tem sido cada vez mais explorada como importante instrumento de criação de novos negócios, tornando-os muito mais personalizados e adaptados às necessidades dos consumidores e usuários. Esse motivo, por si só, já justifica uma atenção especial para o tratamento de dados pessoais na perspectiva das relações contratuais, mas a relevância não para por aí.
É notório que a cultura de proteção de dados já foi incorporada pelas empresas que se preocupam minimamente em garantir um ambiente preparado para atender as adequações necessárias de suas atividades à LGPD. Neste sentido, treinamentos periódicos são necessários para que se abram canais de discussão e esclarecimentos a fim de engajar e orientar os colaboradores a revisarem as minutas contratuais, inicialmente, com os principais parceiros clientes e fornecedores. Assim, o tema do presente estudo emerge revestido de maior relevância diante do cenário atual de imprevisibilidade, pois a exigência de tal adequação também está partindo dos parceiros de negócios – clientes e fornecedores –, razão pela qual muitas empresas já revisaram seus contratos para incluir cláusulas específicas sobre as exigências trazidas pela Lei em comento. Deste modo, independentemente da vigência da LGPD, as cláusulas e anexos contratuais relacionados à proteção de tratamento de dados pessoais já são realidade contratual, e tem plena validade.59
59MIGALHAS. A vigência contratual da LGPD. Disponível em:
<xxxxx://xxx.xxxxxxxx.xxx.xx/xxxxxx/000000/xxxxxxxxx-xxxxxxxxxx-xx-xxxx>. Acesso em 12 jun. 2020.
De início, para a correta compreensão da dinâmica que se desdobra no âmbito das relações contratuais em virtude das operações que envolvem o tratamento de dados pessoais, faz-se necessário rememorar que o rol de obrigações previsto no Capítulo III é direcionado àqueles que exercem efetivamente o tratamento de dados – ou seja, os “agentes de tratamento”60 –, sendo que o legislador teve o cuidado de diferenciar os deveres do controlador61 e do operador62, conforme a relação destes com o tratamento.
Deste modo, compreender os conceitos de controlador e operador é fundamental, pois entendê-los significa saber definir em sede de contratos, de forma acertada, as responsabilidades derivadas da LGPD de cada um desses atores. Além do entendimento correto de seus conceitos, também é importante ter plena compreensão das diferenças existentes entre eles.
Em linhas gerais, a principal diferença entre o controlador e o operador está no poder de decisão dentro da atividade de tratamento de dados pessoais. Ao controlador compete determinar as finalidades e os meios de tratamento de dados pessoais. Já o operador cabe apenas o cumprimento das instruções sobre como tratar os dados pessoais definidas previamente pelo controlador. De modo geral, o topo da cadeia de tratamento de dados está reservado ao controlador.63
O controlador é o responsável pela garantia de aplicação dos direitos dos titulares, estabelecendo com estes, por consequência, uma relação direta; todavia, operador até pode em muitas situações ter poder de gestão e definição, além de também lhe ser permitido a estabelecimento de uma relação direta com o indivíduo titular dos dados pessoais; contudo, em ambas as situações, o operador deverá observar as autonomias outorgadas, bem como os limites estabelecidos pelo controlador de forma prévia. Veja-se que o conceito de operador possui vínculo íntimo com a ideia de delegação.
60 Art. 5º: “IX – agentes de tratamento: o controlador e o operador.
61 Art. 5º: “VI – controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais”.
62 Art. 5º: “VII – operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador”.
63 CONSUMIDOR MODERNO. LGPD: Eu sou um operador ou controlador de dados?. Disponível em:
<xxxxx://xxx.xxxxxxxxxxxxxxxxx.xxx.xx/0000/00/00/xxxx-xxxxxxxx-xxxxxxxxxxx-xxxxx/>. Acesso em 06 jun. 2020.
Deve-se notar, contudo, que a classificação de controlador e de operador não é estática, tendo em vista que, em determinado contexto fático da atividade em si, um controlador pode vir a figurar ao mesmo tempo como operador e vice-versa, não tendo qualquer relevância para a LGPD se determinado instrumento particular entre agentes de tratamento nomeia determinada parte como operador ou controlador, porquanto o que interessa é onde o agente está posicionado dentro da relação de tratamento de dados – no topo da cadeia de tratamento ou em nível inferior. Nessa toada, a classificação de controlador e de operador requer a análise de cada atividade de tratamento em separado.
Nesse cenário, Xxxx Xxxxxxxx Xxxxx Xxxxxx cita como exemplo o caso que envolveu a Sociedade Cooperativa de Bancos Européia, analisado no âmbito da GDPR, em que, apesar de formalmente classificada como processor, foi enquadrada como controller, por meio do Parecer 10/2006, que entendeu pela sua responsabilidade ao menos em relação a uma parcela de suas atividades de tratamento de dados.64
Portanto, nas ocasiões em que houver mais de uma empresa envolvida no tratamento de dados pessoais, recomenda-se que sempre seja feita a seguinte pergunta: a empresa contratada realizou e/ou vai realizar determinado tratamento de dados por uma solicitação e sob as orientações da empresa contratada?
A fim de ilustrar as explicações supra, trazemos a seguir exemplos práticos que evidenciam a necessidade de se definir quem é o controlador e o operador, a fim se atribuir em instrumento formal as respectivas obrigações impostas pela LGPD: (i) contratação de serviços de marketing; (ii) contratação de serviço de gestão de folha de pagamento de funcionários; (iii) contratação de empresas de recrutamento e seleção; (iv) relações de consumo entre agências de viagens, companhias aéreas e redes de hotéis; e, (v) contratação de assessoria jurídica e contábil.
Assim, apesar de ser uma tarefa complexa, as orientações de boas práticas entendem que a definição em instrumento formal de quem é o controlador e o operador em cada caso específico é de suma importância quando falamos em contratos, na medida em que se trata do primeiro vetor orientador na ocasião da
64 XXXXXX, Xxxx Xxxxxxxx Xxxxx. Comentários ao GDPR: Regulamento Geral de Proteção de Dados da União Européia. 1. Ed. São Paulo: Thomson Reauters Brasil, 2018. p. 111-137.
redação das cláusulas que irão estabelecer as responsabilidades de cada ator dentro daquela determinada relação de tratamento de dados.
Empregamos o termo “orientações de boas práticas”, pois, diferentemente da GDPR65, a legislação de proteção de dados pessoais brasileira não exige que a vinculação entre controlador e operador seja formalizada por intermédio de um instrumento contratual. Entretanto, destacamos que, se em determinada situação de tratamento de dados pessoais não houver uma definição clara de quem é o controlador e o operador, há um elevado risco de que nada, ou muito pouco, seja feito em relação ao cumprimento legal da LGPD.
Por fim, também se considera uma boa prática a manutenção de dois bancos de dados com cláusulas padrão classificadas de acordo com a situação fática – um para quando a empresa figura como controlador e o outro para os casos em que figura como operador –, diante da necessidade de se adequar as obrigações previstas no âmbito da Lei em estudo.66
2.2 O CONTRATO COMO SEGUNDA LINHA DE DEFESA67
Enquanto a GDPR exigiu, nos termos do item 3 do artigo 28, a regulação por contrato escrito da relação existente entre o responsável pelo tratamento de dados pessoais e subcontratante – aqui leia-se operador –, a legislação de proteção de dados pessoais brasileira deixou de exigir a obrigatoriedade de adequação de contratos com terceiros; todavia, a boa doutrina, ao mapear todos os riscos existentes, entende por bem que a formalização da divisão de responsabilidades faz-se extremamente necessária, ao passo que, em casos de eventuais discussões, tal instrumento pode ser utilizado como uma segunda linha de defesa.
65 Art. 28º, 3, GDPR: “O tratamento em subcontratação é regulado por contrato ou outro ato normativo ao abrigo do direito da União ou dos Estados-Membros, que vincule o subcontratante ao responsável pelo tratamento, estabeleça o objeto e a duração do tratamento, a natureza e finalidade do tratamento, o tipo de dados pessoais e as categorias dos titulares dos dados, e as obrigações e direitos.” do responsável pelo tratamento”.
66 CURSO DE LGPD APLICADA A CONTRATOS, 2020, São Paulo. São Paulo: Opice Blum Academy, Instituto de Educação.
67 CURSO DE LGPD APLICADA A CONTRATOS, 2020, São Paulo. São Paulo: Opice Blum Academy, Instituto de Educação.
Importante destacar que a doutrina considera a regulação por contrato escrito da relação existente entre o controlador e operador como sendo uma segunda linha de defesa, pois, conforme já mencionado em tópico anterior, a Lei em estudo não prevê a formalização de contrato como hipótese de exclusão da responsabilidade dos agentes de tratamento (art. 43); contudo, em caso de baixa efetividade da solução de conflitos na esfera administrativa – ou seja, perante a Autoridade Nacional de Proteção de Dados –, a parte interessada poderá, ainda, socorrer-se ao Poder Judiciário, a partir do ajuizamento de ação de indenização por descumprimento de cláusula contratual.
Adicionalmente, no que diz respeito ao operador, convém destacar que, apesar de não lhe ser permitido definir as regras que deverão ser observadas no tratamento de dados pessoais, recomenda-se, portanto, prever em instrumento particular cláusulas que definam de forma expressa a autonomia que lhe foi outorgada, bem como os limites estabelecidos pelo controlador, de modo que demonstrem que ele recebeu todas as instruções do controlador, a fim de demonstrar a sua boa-fé e cumprimento integral das disposições da LGPD.68 O intuito aqui também é garantir uma segunda linha de defesa ao operador.
Já perante a Autoridade Nacional de Proteção de Dados, a formalização de contrato escrito, apesar de não disposto como obrigatório pela LGPD, demonstra a observância do princípio da boa-fé pelos agentes de tratamento, em virtude da demonstração da adoção de medidas de gestão de risco e de conformidade; ainda que a cláusula contratual não afaste a totalmente a responsabilidade, esse argumento serve ao propósito de pelo menos tentar afastar responsabilidade solidária prevista nos incisos I e II do §1º do artigo 42.
Por fim, entendemos que em se tratando de dados pessoais, a formalização de um instrumento particular formal é o veículo mais acertado quando pensamos em uma forma de se demonstrar a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais, especialmente no que diz respeito ao princípio da boa-fé e, por consequência natural, aos demais critérios principiológicos que dele se desdobram.
68 XXXXXX, Xxxx Xxxxxxxx Xxxxx. Comentários ao GDPR: Regulamento Geral de Proteção de Dados da União Europeia. 1. ed. São Paulo: Thomson Reauters Brasil, 2018. p. 62.
2.3 CONTEÚDO MÍNIMO DESEJÁVEL DE UM CONTRATO ENTRE CONTROLADOR E OPERADOR
Prever os requisitos de privacidade e segurança de dados no âmbito de contratos firmados com terceiros trata-se apenas de uma das ações de implementação e preservação de uma estrutura de governança de dados bem alinhada com a LGPD, ainda que não haja tal obrigatoriedade na referida Lei. Recomenda-se, dessa maneira, que sejam adotadas cláusulas-padrão que discorram detalhadamente sobre as responsabilidades dos agentes de tratamento em cada fase do ciclo de vida do dado.
As empresas devem mapear e registrar todo ciclo de vida de seus dados e disponibilizar um canal para que o usuário, entre outras atividades, solicite a exclusão de seus dados pessoais. Muitas empresas ainda têm contratos que serão modificados e processos manuais a serem revistos; banco de dados que deverão ser anonimizados; dados coletados com devido consentimento e processo de exclusão mapeados. Basicamente serão revistos todos os processos para localizar e entender o ciclo de vida do dado dentro das empresas.69
Nesse sentido, cabe mencionar que, mesmo antes de a LGPD ser promulgada, as empresas atuantes no mercado de prestação de serviços de tecnologia da informação já formalizavam o documento conhecido por Service Level Agreement (SLA), que “funciona como uma espécie de comprovante com tudo o que foi especificado sobre o desenvolvimento e o resultado do serviço. Sendo assim, se algo ocorrer fora do planejado, é possível usar o SLA para contestar e chegar a um acordo.”70
Deste modo, recomenda-se, que também sejam revisados os SLAs e contratos já firmados que estão vigentes, a fim de identificar eventuais violações à legislação de proteção de dados, sendo necessárias minuciosas diligências de due diligence.
69 CENTRAL IT. O ciclo de vida do dado e a Lei Geral de Proteção de Dados. Disponível em:
<xxxxx://xxxxxxxxx.xxx.xx/xxxxx.xxx/0000/00/00/x-xxxxx-xx-xxxx-xx-xxxx-x-x-xxx-xxxxx-xx-xxxxxxxx-xx- dados/>. Acesso em: 09 jul. 2020.
70 BOM CONTROLE. SLA em TI: O que é e como criar na sua empresa. Disponível em:<xxxxx://xxxxxxxxxxx.xxx.xx/xxx/>. Acesso em 13 jun. 2020
A leitura das orientações emitidas pelas autoridades nacionais de proteção de dados da Espanha71 e do Reino Unido72 é bastante útil ao tema, pois apresentam o conteúdo mínimo que um instrumento contratual entre os agentes de tratamento deve conter. Deste modo, de forma concisa, disponibilizamos abaixo, uma adaptação das referidas orientações para o cenário brasileiro:
i.Objeto e duração do tratamento; ii.Natureza e finalidade do tratamento; iii.Definição do tipo de dado pessoal;
iv.Obrigação do operador de só tratar os dados pessoais de acordo com as orientações e autorizações expressas do controlador;
v.Garantia, pelo operador, de que as pessoas autorizadas por ele a processar dados pessoais se comprometeram expressamente a respeitar a confidencialidade;
vi.Garantia, pelo operador, de adoção de medidas de segurança adequadas e proporcionais;
vii.Obrigação do operador de só subcontratar outro operador mediante autorização expressa do controlador;
viii.Obrigação do operador de cooperar com o controlador no atendimento de solicitações dos titulares de dados que queiram exercer os seus direitos;
ix.Obrigação do operador em prestar assistência ao controlador das suas obrigações relativas à segurança;
x.Obrigação do operador de, ao final do contrato, excluir ou devolver os dados; xi.Obrigação do operador de demonstrar ao controlador a obrigação de
demonstrar o cumprimento de todas as suas obrigações em sede de auditorias e inspeções;
xii.Prazo e nível de prioridade para a comunicação de incidente de violação de dados pessoais pelo operador ao responsável;
xiii.Multas e cláusulas indenizatórias; e,
71 AGENCIA ESPANOLA DE PROTECCIÓN DE DATOS. Directrices para la elaboración de contratos entre responsables y encargados Del tratamento. Disponível em:<xxxxx://xxx.xxxx.xx/xxxxx/xxxxxxx/xxxxx/0000-00/xxxx-xxxxxxxxxxx-xxxxxxxxx.xxx>. Acesso em 16 jun.2020.
72 ICO UK. Guide to the General Data Protecion Regulation. Disponível em: <xxxxx://xxx.xxx.xx/xxx- organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/>. Acesso em: 08 jun. 2020.
xiv.Reafirmação de que o operador, sem prejuízo daquilo assumido no contrato, não se exime de suas demais obrigações legais.
No que diz respeito à orientação de se prever em cláusula a obrigação do operador de somente subcontratar outro operador mediante autorização expressa do controlador, destacamos, ainda, que os juristas especializados no tema entendem que, na hipótese de o operador subcontratar outra empresa, se faz necessária previsão que também obrigue a subcontrata a cooperar com o controlador no atendimento de solicitações dos titulares de dados que queiram exercer os seus direitos, como forma de caracterizar o cumprimento do comando advindo da autodeterminação informativa.73
2.4 GRAU DE ROBUSTEZ DAS CLÁUSULAS CONTRATUAIS CONFORME A ESPÉCIE DE DADO PESSOAL TRATADO74
Xxxxxxxxx se faz a perfeita identificação da espécie de dado pessoal que está sendo tratado quando pensamos na adequação dos contratos com os parceiros de negócios, clientes ou fornecedores, às disposições da LGPD, tendo em vista que esse mapeamento irá determinar o grau de robustez das cláusulas contidas no bojo do instrumento contratual. Importante salientar também que as orientações de boas práticas recomendam que seja elaborada uma minuta contratual específica e direcionada exclusivamente àquela espécie de dado pessoal que está sendo tratado.
Nesse passo, do exposto no capítulo anterior do presente estudo, podemos classificar os dados pessoais, seguindo o grau de criticidade de mais para menos, da seguinte forma: (i) dados pessoais sensíveis, que são os que revelam a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico; (ii) dados pessoais diretos, que são os que identificam diretamente uma pessoa sem a necessidade de outros dados ; (iii) dados pessoais
73 CURSO DE LGPD APLICADA A CONTRATOS, 2020, São Paulo. São Paulo: Opice Blum Academy, Instituto de Educação.
74 CURSO DE LGPD APLICADA A CONTRATOS, 2020, São Paulo. São Paulo: Opice Blum
Academy, Instituto de Educação.
indiretos, que sozinhos não são capazes de identificar uma pessoa, necessitando, portanto, de informações adicionais; (iv) dados pessoais psedonimizados, que são aqueles que foram submetidos ao processo de psedonimização e deixaram de ser atribuídos à um indivíduo, desde que as informações suplementares sejam mantidas em separado; e (v) dados anonimizados, que são relativos a titular que não pode ser identificado ou reindetificado por qualquer meio razoável.
No que diz respeito aos dados pessoais sensíveis, estes ocupam o topo da escala de criticidade tendo em vista que o próprio legislador lhe reservou bases legais mais restritas, além do fato de o seu tratamento possuir potencial de resultar em situações de discriminação. Deste modo, aos dados sensíveis deverão ser endereçadas as cláusulas mais robustas, de modo que as finalidades e responsabilidades sejam muito bem definidas.
O ponto de atenção no que diz respeito à criticidade dos dados pessoais, diretos ou indiretos, está no fato de que o tratamento em escala de dados pessoais pode vir a inferir dados sensíveis, alterando, por consequência, a sua base legal e o seu grau de criticidade. Exemplo disso é o conjunto e dados de localização coletados por aplicativos de transporte privado que num primeiro momento são considerados dados pessoais, mas podem inferir a religião, orientação sexual e preferências políticas dos usuários. Nessa senda, entendemos necessária inclusão de uma cláusula que preveja tal possibilidade.
Já no tratamento dos dados pseudonimizados e anonimizados pode ser inócuo transcrever cláusulas extensas e robustas, sendo suficiente trazer para o bojo das cláusulas contratuais os principais pontos da LGPD, já que resultam na inaplicabilidade da legislação em estudo, todavia, o que deve ser estudado e previsto, com certeza, é a eventual possibilidade de reversão dos procedimentos de anonimização e psedonização, de modo que seja possível identificar o indivíduo titutar. Entendemos, particularmente, que esta hipótese específica deve ser estudada pelos controladores com muita profundidade quando estiverem tratando de dados anonimizados e psedonimizados.
No mundo jurídico ideal, as cláusulas de um contrato que versam sobre tratamento de dados deveriam prever todas as possibilidades decorrentes da operação de tratamento, evitando, assim discussões em torno de interpretações
dúbias e, na pior das hipóteses, a aplicação de sanções pela Autoridade Nacional de Proteção de Dados. Desta feita, não pretendemos aqui esgotar o assunto, que é dinâmico e evolui a cada dia, mas sim mapear e apresentar os principais pontos mais críticos que devem ser observados na ocasião da redação das cláusulas contratuais.
CONCLUSÃO
Diante do quanto anteriormente exposto, é possível chegar-se à conclusão de que a LGPD tem por objetivo o amplo tratamento de dados pessoais, havendo também atenção à proteção de documentos ou informações manipuladas no ambiente off-line, na medida em que, apesar da crescente utilização das tecnologias da informação e da comunicação.
De fundamental relevância também o fato de que também foi objetivo do legislador – e desafio – trazer segurança jurídica necessária a todos os atores da sociedade, ao mesmo tempo em que vislumbrou a necessidade de oferecer apoio aos avanços tecnológicos, sem sufocar os novos modelos de negócios, em especial diante da nova sociedade da informação tecnológica em que vivemos, na qual a comunicação e as informações sociais migram para ambientes digitais.
Foram observadas também algumas questões pontuais acerca da legislação, a fim de tornar ainda mais claros os limites de aplicabilidade da lei, na medida em que alguns debates vêm adquirindo relevo recente nas esferas jurídica nacional e internacional, como, por exemplo, os desafios relacionados à “herança digital”.
Nesse passo, os princípios relativos ao tratamento de dados pessoais relacionados nos incisos do artigo 6º visam estabelecer certas limitações ao tratamento de dados. Deste modo, foram analisadas de forma detalhada todas as dez diretrizes principiológicas que os agentes de tratamento deverão se atentar para a correta compreensão e interpretação da LGPD. Além do atendimento ao princípios, a LGPD traz de forma bastante clara um rol taxativo de hipóteses para o tratamento de dados pessoais e sensíveis. O ponto mais interessante que pudemos observar sobre este tema foi que as bases legais devem ser analisadas e aplicadas de forma ampla, na medida em que há situações em que o tratamento de dados pessoais pode revelar dados sensíveis.
Por conseguinte, foram abordados os conceitos legais fundamentais para a ampla e correta interpretação da LGPD: (i) dados pessoais diretos; (ii) dados pessoais
indiretos; (iii) dados sensíveis; (iv) dados anonimizados; (v) anonimização; e (vi) dados psedonimizados. Em suma, entendê-los significa saber atribuir, de forma acertada, as responsabilidades derivadas da LGPD, especialmente nas relações contratuais – o tema central do presente estudo.
Outra mudança de paradigma foi a da LGPD ter elegido a autodeterminação informativa como fundamento, dentre outros, que corresponde ao direito do titular dos dados de escolher quais dados poderão ser tratados, bem como os limites e o prazo desse uso. O conceito de autodeterminação informativa não é novo; contudo, dentro do contexto social trazido pela sociedade da informação ganhou nova roupagem e maior relevância.
Nessa esteira, foram analisadas as disposições da Lei Geral de Proteção de Dados que estabelecem a responsabilidade civil dos agentes de tratamento sempre que, em razão do exercício de atividade de tratamento de dados pessoais, causarem ao titular do dado, dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo. Nesse cenário, vislumbramos que o legislador não foi exatamente claro ao analisar a eventual aplicabilidade da responsabilidade subjetiva ou objetiva, prevendo a aplicação da responsabilidade solidária em duas hipóteses específicas.
Neste contexto, tendo em vista que o presente trabalho pretendeu trazer as possíveis problemáticas do tema no âmbito da relação contratual, visto que já podemos prever que a tarefa de cumprir a lei e interpretar as nuances da lei será difícil para o operador do direito, analisamos a fundo a dinâmica da relação entre o “Controlador” e o “Operador”75 que são os agentes de tratamento de dados pessoais. Vislumbramos que o maior desafio quando falamos em contratos está no fato de que a classificação de controlador e de operador não é estática, tendo em vista que, em determinado contexto fático da atividade em si, um controlador pode vir a figurar ao mesmo tempo como operador e vice-versa, não tendo qualquer relevância para a LGPD se determinado instrumento particular entre agentes de tratamento nomear determinada parte como operador ou controlador, porquanto o que interessa é onde
75 Art. 37. O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse.
o agente está posicionado dentro da relação de tratamento de dados – no topo da cadeia de tratamento ou em nível inferior.
De outra banda, foi trazido à baila o entendimento mais moderno da doutrina, que considera a regulação por contrato escrito da relação existente entre o controlador e operador como sendo uma segunda linha de defesa, pois, a LGPD não prevê a formalização de contrato como hipótese de exclusão da responsabilidade dos agentes de tratamento (art. 43); contudo, em caso de baixa efetividade da solução de conflitos na esfera administrativa – ou seja, perante a autoridade nacional de proteção de dados –, a parte interessada poderá, ainda, socorrer-se ao Poder Judiciário, a partir do ajuizamento de ação de indenização por descumprimento de cláusula contratual.
Conclui-se que, de modo a analisar a teoria de forma prática, foram elencadas de forma concisa as cláusulas mínimas que um contrato que versa sobre tratamento de dados deve conter, conforme as orientações de boas práticas. A doutrina e os atores da sociedade já estão se movimentando no sentindo de tentar prever todas as possibilidades decorrentes da operação de tratamento, evitando, assim discussões em torno de interpretações dúbias e, na pior das hipóteses, a aplicação de sanções pela Autoridade Nacional de Proteção de Dados. Desta feita, não pretendemos aqui exaurir o assunto, que é evolui a cada dia e caminha a passos largos, mas sim mapear e apresentar os principais pontos mais críticos que devem ser observados na ocasião da redação das cláusulas contratuais.
REFERÊNCIAS BIBLIOGRÁFICAS
AB2L. Proteção post mortem dos dados pessoais?. Disponível em: xxxxx://xxx.xx0x.xxx.xx/xxxxxxxx-xxxx-xxxxxx-xxx-xxxxx-xxxxxxxx/. Acesso em: 7 jul. 2020.
AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS. Directrices para la elaboración de contratos entre responsables y encargados Del tratamento. Disponível em:<xxxxx://xxx.xxxx.xx/xxxxx/xxxxxxx/xxxxx/0000-00/xxxx-xxxxxxxxxxx- contratos.pdf>. Acesso em 16 jun.2020.
XXXXX, Xxxxxx Xxxxx xx Xxxxx. Dos agentes de tratamento de dados pessoais. In: XXXXXXXXX, Xxxxxxx Xxxxxxx; XXXX, Xxxxxx Xxxxx. LGPD: Lei Geral de Proteção de Dados comentada. São Paulo: Revista dos Tribunais, 2019, p. 323.
XXXXX, Xxxxxxxx Xxxxxx. Cadastro Positivo: comentários à Lei 12.414, de 9 de junho de 2011. São Paulo: Revista dos Tribunais, 2011. Pag. 59
XXXX, Xxxxxx X. X. Opice; XXXXX, Xxxxxx Xxxxx xx Xxxxx e XXXXXXX, Xxxxxxx Xxxxx (coordenadores). Manual de Direito Eletrônico e Internet. São Paulo: Lex Editora, 2006.Pag. 594/595.
CADERNOS JURÍDICOS. Direito Digital e proteção de dados pessoais. Escola Paulista da Magistratura, ano 21, nº53, p. 1-202, Jan.-Mar./2020. Disponível em: < xxxxx://xxx.xxxx.xxx.xx/Xxxxxxxxxxx/XxxxxxxXxxxxxxx/00000 >. Acesso em: 18 jun.2020.
CONJUR. Os princípios no tratamento de dados na LGPD (Lei Geral da Proteção de Xxxxx Xxxxxxxx). Disponível em: xxxxx://xxx.xxxxxx.xxx.xx/xx/xxxxxx-xxxxxx- pestana-lgpd.pdf. Acesso em: 15 jun. 2020.
CONSUMIDOR MODERNO. LGPD: Eu sou um operador ou controlador de dados?. Disponível em: <xxxxx://xxx.xxxxxxxxxxxxxxxxx.xxx.xx/0000/00/00/xxxx- operador-controlador-dados/>. Acesso em: 06 jun. 2020.
CURSO DE LGPD APLICADA A CONTRATOS, 2020, São Paulo. São Paulo: Opice
Blum Academy, Instituto de Educação.
XXXXXX, Xxxxxx. Da privacidade à proteção dos dados pessoais. Rio de Janeiro: Xxxxxxx, 0000.
XXXXXX, Xxxxxx. A Proteção dos Dados Pessoais como um Direito Fundamental. Espaço Jurídico Journal of Law, Xxxxxxx, x. 00, x. 0, x. 00-000, jul./dez. 2011. Pag. 97
XXXXXX & SILVA ADVOCACIA. Lei GDPR em português. Disponível em: xxxxx://xxx.xxxxxxxxxxxx.xxx/xxx-xxxx-xx-xxxxxxxxx/. Acesso em: 9 jun. 2020.
GOVERNO DIGITAL. Guia de Boas Práticas - Lei Geral de Proteção de Dados (LGPD). Disponível em: xxxxx://xxx.xxx.xx/xxxxxxxxxxxxxx/xx-xx/xxxxxxxxxx-xx- dados/guia-lgpd.pdf. Acesso em: 24 jun. 2020.
ICO UK. Guide to the General Data Protecion Regulation. Disponível em:
<xxxxx://xxx.xxx.xx/xxx-xxxxxxxxxxxxx/xxxxx-xx-xxxx-xxxxxxxxxx/xxxxx-xx-xxx-xxxxxxx- data-protection-regulation-gdpr/>. Acesso em: 08 jun. 2020.
XXX.XX.XX. Privacy by Design: The 7 Foundational Principles. Disponível em: xxxxx://xxx.xxx.xx.xx/xx-xxxxxxx/xxxxxxx/Xxxxxxxxx/0xxxxxxxxxxxxxxxxxxxxxx.xxx.
Acesso em: 1 jun. 2020.
XXXXXX, Xxxxxx do Vale. Comentários ao GDPR: Regulamento Geral de Proteção de Dados da União Europeia. 1. ed. São Paulo: Thomson Reauters Brasil, 2018. p. 173.
XXX.XXX.XX. “Privacy By Design” e compliance na LGPD. Disponível em: xxxxx://xxx.xxx.xx/xxxxxxx/00000/xxxxxxx-xx-xxxxxx-x-xxxxxxxxxx-xx-xxxx. Acesso em: 29 jun. 2020
LAGO XXXXXX, Xxxxxxx. Responsabilidade civil por atos ilícitos na Internet. São Paulo: Ed. LTr, 2001.
LIMA. Xxxxx Xxxxxxx. BARRETO JUNIOR. Xxxxxx Xxxxxxxxx. Marco Civil da Internet: Limites da Previsão Legal de Consentimento Expresso e Inequívoco como Proteção Jurídica dos Dados Pessoais na Internet. Florianópolis: CONPEDI. 2018. 61-80. Pag. 74
XXXXXXXXX, Xxxxxxx Xxxxxxx. LGPD – Lei Geral de Proteção de Dados comentada. Edição do Kindle.
MIGALHAS. A vigência contratual da LGPD. Disponível em:
<xxxxx://xxx.xxxxxxxx.xxx.xx/xxxxxx/000000/xxxxxxxxx-xxxxxxxxxx-xx-xxxx>. Acesso em 12 jun. 2020.
XXXXXX, Xxxxxx. Sociedade com custo marginal zero. São Paulo: M. Books. 2016. Pag. 89.
XXXXXXXX, Xxxxxxxx; XXXX, Xxxxxxxx Xxxxx Xxxxx de; AMENI, Xxxx X. Regulamentação da internet: perspectiva comparada entre Brasil, Chile, Espanha, EUA e França. Hist. cienc. saude-Manguinhos, Rio de Janeiro, v. 22
XXXXXXX, Xxxxxxx Xxxxxxx, Direito e Internet: liberdade de informação, privacidade e responsabilidade civil. São Paulo. Atlas, 2000. Pag. 97
XXXXXX, Xxxxx. A quarta revolução industrial. 1. ed. São Paulo, SP: Edipro, 2016. p. 72-77.
XXXXXXXX, Xxxx X.; XXXXXX, Xxxxxx X. The Pii problem: privacy and a new concept of personally identifiable information. Berkeley Law. p. 1814-1894. 01.01.2011. Disponível em:
<xxxxx://xxxxxxxxxxx.xxx.xxxxxxxx.xxx/xxx/xxxxxxxxxxx.xxx?xxxxxxxx0000&xxxxxxxxxxxx ubs>. Acesso em: 30.05.2020.
XXXXX, Xxxxxxxx Xxxxxxx. LGPD – Lei Geral de Proteção de Dados comentada. Edição do Kindle.
XXXXXXX, Xxxx. Privacy by Design” e Proteção de Xxxxx Xxxxxxxx. Disponivel em < xxxxx://xxx.xxxxxxxxx.xxx.xx/xxxxxxxxxxx-x-xxxxxxxx-xx-xxxxx/xxxxxxx-xx- design-e-protecao-de-dados-pessoais/ > Acessado em 30 mai. 2020.
XXXXXXX, Xxxx. Comentários ao GDPR: Regulamento Geral de Proteção de Dados da União Europeia. 1. ed. São Paulo: Thomson Reauters Brasil, 2018. p. 62.
ANEXO
ANEXO A – MODELO DE CONTRATO ENTRE CONTROLADOR E OPERADOR76
1. Escopo / Objeto
A empresa Operadora, receberá da empresa Controladora, os seguintes dados pessoais: Nome, CPF e imagem de titulares de dados. A empresa Operadora assume o compromisso a tratar os dados pessoais compartilhados pela empresa Controladora, exclusivamente para a prestação dos serviços designados como objeto deste contrato. O objeto deste contrato será a disponibilização do serviço [ ].
2. Responsabilidades e Confidencialidade
A empresa Operadora, concorda e assume o compromisso de realizar o tratamento dos dados pessoais recepcionados da empresa Controladora, em consonância com as determinações da Lei Federal nº 13.709.2018, bem como quais legislações de privacidade aplicáveis. A empresa Operadora assume o compromisso de manter os dados pessoais compartilhados pela empresa Controladora, confidenciais, adotando para tanto todas as medidas técnicas e administrativas necessárias.
3. Segurança
A empresa Operadora, assume o compromisso de adotar técnicas organizacionais e técnicas para garantir a segurança das informações compartilhadas em razão do presente contrato. Dentre as medidas assumidas pela empresa Operadora, deverão constar: i) Plano escrito de segurança da informação; ii) Controles de segregação de acesso; iii) Criptografia de dados armazenados.
4. Compartilhamento de dados
76 CURSO DE LGPD APLICADA A CONTRATOS, 2020, São Paulo. São Paulo: Opice Blum Academy, Instituto de Educação.
Fica restrito o compartilhamento dos dados pessoais tratados em razão do objeto determinado no presente contrato, salvo quando necessário para a execução dos serviços contratados. Em caso de necessidade de subcontratação de empresas para a prestação do serviço acordado no objeto do presente contrato, deverá a empresa Operadora, submeter esta necessidade a apreciação da empresa Controladora, que por sua vez deverá autorizar de forma expressa a realização da atividade de compartilhamento.
5. Incidentes de Segurança
A empresa Operadora deverá manter plano estruturado que estabelece medidas de resposta para casos de incidente de segurança envolvendo dados pessoais. O documento deverá determinar, dentre outros fatores: (i) medidas para identificação;
(ii) medidas para classificação; (iii) medidas para resposta e remediação. Em caso de incidente de segurança da informação envolvendo os dados pessoais compartilhados em razão do objeto do presente contrato, deverá a empresa Operadora, notificar, imediatamente, a empresa Controladora.
A notificação mencionada deverá conter minimamente: I - a descrição da natureza dos dados pessoais afetados; II - as informações sobre os titulares envolvidos; III - a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial; IV - os riscos relacionados ao incidente; V - os motivos da demora, no caso de a comunicação não ter sido imediata; e VI - as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo
6. Direitos dos Titulares
A empresa Operadora ficará responsável por auxiliar a empresa Controladora no atendimento de solicitações de titulares de dados pessoais. A empresa Operadora deverá garantir a possibilidade de cumprimento dos seguintes direitos: i) a confirmação da existência do tratamento; (ii) o acesso aos dados pessoais tratados;
(iii) a correção dos dados pessoais incompletos, inexatos ou desatualizados; (iv) a anonimização, o bloqueio ou a eliminação dos dados pessoais; (v) a portabilidade dos
dados pessoais; (vi) informação sobre as entidades públicas e privadas com as quais foi realizada o compartilhamento de dados; (vii) informar as consequências da revogação do consentimento; e (viii) informar os fatores que levaram a uma decisão automatizada. Eventuais solicitações de titulares de dados pessoais, recepcionadas diretamente pela empresa Operadora deverão ser imediatamente encaminhadas a empresa Controladora.
7. Auditorias e Responsabilidade
A empresa Operadora declara estar ciente e formalmente autoriza a realização de auditorias de seus documentos e sistemas, a fim de confirmar as obrigações assumidas no presente contrato. A empresa Operadora ficará responsável por adimplir com, mas não somente, multas administrativas, indenizações, incluindo perdas e danos aos titulares de dados pessoais afetados, caso descumpra as obrigações assumidas no presente contrato, ou caso terceiros, diretamente contrato pela empresa Operadora, descumprir tais obrigações.
8. Devolução de dados pessoais
A empresa Operadora deverá, ao final do objeto do presente contrato ou do vínculo entre as partes, devolver a base de dados compartilhada para execução dos serviços contratados.
9. Prazos, vigência
Os termos do presente contrato serão aplicáveis e permanecerão vigentes, mesmo após o término do relacionamento entre as partes, enquanto a empresa Operadora continuar a realizar o tratamento de dados pessoais compartilhado pela empresa Controladora, para a prestação dos serviços anteriormente contratados.
10. Orientações e recusa de comando ilícitos
A empresa Controladora compartilhará os dados pessoais [...] com a empresa Operadora, para fins de cumprimento do objeto [...]. A empresa Operadora garante que as informações compartilhadas serão utilizadas, exclusivamente para cumprir com o objeto deste contrato, o qual a empresa Controladora garante que foi estipulado
em observância da LGPD. A empresa Operadora se resguarda o direito de recusar qualquer comando ilícito.
11. Licitude das informações
A empresa Controladora garante que todas as informações compartilhadas para permitir o cumprimento do objeto do presente contrato, foram coletadas em observância da LGPD, garantindo a existência de legítima expectativa do titular dos dados.