Produto
Demo
Blog

Aprendendo com a Europa: princípios e bases legais nas operações de tratamento de dados pessoais

A Lei nº 13.709/2018, popularmente conhecida como LGPD (Lei Geral de Proteção de Dados), está em vigor desde 18/9/2020. A estrutura regimental da Autoridade Nacional de Proteção de Dados (ANPD) foi definida em agosto deste ano pelo Decreto Presidencial nº 10.474/2020, e no dia 19/10/2020 os indicados ao conselho diretor da ANPD foram sabatinados pelo Senado Federal.

Nesse pouco tempo de vigência da Lei, já houve a judicialização de alguns casos relacionados com proteção de dados pessoais e, inclusive, uma condenação judicial em primeira instância por tratamentos indevidos de dados pessoais, com base no CDC e na LGPD.

Apesar da ANPD ainda não estar operante, caberá a ela, dentre as diversas atribuições, fiscalizar e aplicar sanções em caso de tratamentos de dados em desconformidade com a legislação.

No que diz respeito às sanções em casos de tratamentos de dados pessoais em desacordo com a LGPD, certamente o que está acontecendo na Europa servirá de ensinamento e também de preocupação para os agentes de tratamento brasileiros.

Sem levar em consideração todo o histórico normativo, bem como a cultura de proteção de dados pessoais que há bastante tempo é disseminada nos países europeus, podemos tentar buscar os aspectos práticos dos principais motivos das sanções que foram aplicadas por lá e identificar as principais ilegalidades e irregularidades que agentes de tratamento europeus cometeram.

Analisando as últimas dez penalidades aplicadas pelas Autoridades Supervisoras européias, no período de 1º de outubro a 16 de outubro de 2020, temos 4 países diferentes: Reino Unido, Romênia, Espanha e Alemanha, aplicando penalidades para agentes de tratamento distintos. O Reino Unido aplicou uma sanção, a Espanha cinco, a Romênia três e a Alemanha também uma.

Os valores das multas aplicadas partem de “irrisórios” 900,00 (novecentos) Euros aplicados a um Café/Restaurante na Espanha, chegando a 35.258.708,00 (trinta e cinco milhões, duzentos e cinquenta e oito mil e setecentos e oito) Euros para a loja online H&M Hennes & Mauritz na Alemanha. O Reino Unido também aplicou mais uma multa pesada para a British Airways, dessa vez no valor de 22.046.000,00 (vinte e dois milhões e quarenta e seis mil) Euros.

Então, quais são os principais motivos para as sanções aplicadas pelas Autoridades Supervisoras europeias nesses dez casos? Dois casos estão relacionados com medidas técnicas e administrativas insuficientes para garantir a segurança da informação; três casos estão relacionados com a não conformidade com os princípios gerais para tratamento de dados pessoais; outros três casos estão relacionados com a insuficiência de base legal para o tratamento de dados pessoais (inclusive sendo o motivo do caso alemão, que foi a multa mais alta dos exemplos mencionados); e, por fim, temos dois casos de cooperação insuficiente dos agentes de tratamento com a respectiva Autoridade Supervisora.

De igual forma, ao analisarmos os dez casos de multas mais altas individualmente por agente de tratamento, em que as multas começaram em 8.500.000,00 (oito milhões e quinhentos mil) Euros, chegando a 110.390.200,00 (cento e dez milhões, trezentos e noventa mil e duzentos) Euros, verificamos novamente os três mesmos motivos para aplicação das sanções: (i) três casos de medidas técnicas e administrativas insuficientes; (ii) seis casos de insuficiência de base legal para o tratamento de dados pessoais; e (iii) um caso de não conformidade com os princípios gerais.

Conclui-se, portanto, que são esses os 3 principais motivos para as aplicações das sanções pelas Autoridades Supervisoras europeias. Foram 162 multas por insuficiência de base legal para o tratamento de dados pessoais; 86 multas por medidas técnicas e administrativas insuficientes e 67 multas por não conformidade com os princípios gerais da lei.

Diante desse cenário, e imaginando que no Brasil seguiremos em um caminho semelhante, verificamos que o investimento em medidas técnicas pelos agentes de tratamento brasileiros será necessário. Exemplos de tais medidas são: firewall, proxy, VPNs, duplo fator de autenticação, criptografia, anonimização, senhas fortes, controles de acessos a redes e sistemas, registros de login, etc.

Por sua vez, medidas administrativas também deverão receber extrema atenção. Como exemplo, citamos: política de segurança da informação, política de privacidade, política de home office, política de retenção e de descarte de dados, acesso físico controlado a determinados ambientes, confidencialidade de informações sensíveis, política de BYOD e adoção de metodologias e padrões de segurança da informação etc.

No que diz respeito às questões jurídicas da LGPD, especial atenção deve ser dada aos princípios e bases legais. Em seu artigo 6º, a LGPD define os onze princípios que devem ser observados em cada uma das operações de tratamento mapeadas pelos agentes de tratamento. Reforçando: cada atividade de tratamento deve respeitar a boa-fé e todos os dez princípios previstos na lei. A boa notícia é que essa é a melhor forma de agir preventivamente em questões relacionadas à proteção de dados pessoais. O respeito aos princípios legais tende a diminuir consideravelmente os riscos existentes nas operações de tratamento e por consequência eventuais penalidades da Autoridade Supervisora.

Já em relação às hipóteses legais para tratamento de dados pessoais, é necessário escolher uma das dez bases previstas no art. 7º da LGPD para cada atividade de tratamento de dados comuns, ou uma das hipóteses do art. 11 para cada operação de tratamento de dados sensíveis. A escolha da base legal não é uma atividade trivial e se houver equívoco no enquadramento, ou mesmo se não houver a indicação de uma das hipóteses legais, os riscos de uma operação de tratamento ser considerada ilícita é grande. Como mencionado, este é o principal motivo de aplicação das sanções aos agentes de tratamento pelas Autoridades Supervisoras europeias e talvez seja o ponto inicial de atenção para os agentes de tratamento brasileiros até agosto de 2021, quando as sanções pela ANPD começarão a ser aplicadas de fato.

Muitas vezes, a melhor forma de aprender é errando. Se aprendermos com os erros dos outros, é melhor ainda, mais barato e muito menos doloroso. O histórico europeu nos dá boas dicas e lições do que podemos evitar ou atenuar no Brasil nas questões de privacidade e proteção de dados, quando tivermos a ANPD em plena operação.


Jonathan Y. Ando Nelson
Jonathan Nelson


Quer saber como aproveitar nosso software para expandir seus serviços com a LGPD? clique aqui e fale com um especialista.