Publicações

21/1/2020

Revista Shopping Centers

Por Esther Jerussalmy Cunha, sócia da área de Inovação e Tecnologia do escritório L.O Baptista Advogados.

 

Lei Geral de Proteção de Dados entra em vigor no Brasil a partir de Agosto deste ano

 

A Lei Geral da Proteção de Dados (LGPD) exige que as empresas mudem sua cultura interna e passem a incorporar no seu dia a dia práticas específicas voltadas à privacidade, à segurança de dados pessoais (definidos na LGPD como informações relacionadas a pessoa natural identificada ou identificável) e de forma a assegurar ao titular o exercício de seus direitos.

Isso porque a LGPD é aplicável a qualquer operação de tratamento (por exemplo, a coleta, produção, utilização, reprodução, eliminação) de dados pessoais que preencha um dos seguintes requisitos:

• seja realizada no Brasil;
• tenha por objetivo a oferta de bens ou serviços ou ainda o tratamento de dados de indivíduos no Brasil;
• seja referente a dados pessoais coletados no Brasil. A LGPD somente não é aplicável em situações excepcionais previstas no Art. 4º da mesma lei.

Todo tratamento deve respeitar os fundamentos previstos em lei (Art. 2º, LGPD), os princípios (Art. 6º, LGPD), os requisitos para o tratamento (Art. 7º LGPD) e os direitos do titular de dados pessoais (Arts. 9º, 17 e seguintes, da LGPD).

Para adequação das empresas a essas exigências da LGPD, é necessária revisão, adaptação e, possivelmente, a criação de novos procedimentos internos, além da conscientização de todos os colaboradores sobre a LGPD e seus impactos nas suas atividades e na empresa, tanto por meio de políticas internas da empresa como através de treinamento dos colaboradores.

Confira abaixo as respostas para algumas das principais dúvidas sobre a LGPD.

O que muda em relação à regulamentação que existia anteriormente?

A disciplina jurídica dos dados pessoais está espalhada em diversas leis, como o Marco Civil da Internet e seu decreto regulador, o Código de Defesa do Consumidor, o Estatuto da Criança e do Adolescente, a Lei do Cadastro Positivo, Lei do Sigilo Bancário, normas do CMN e do BACEN sobre Cibersegurança, a Lei de Acesso à Informação, dentre outras.

A LGPD não afasta a aplicação das regras sobre proteção de dados pessoais já estabelecidas nessas outras leis. Mas, reúne os direitos dos titulares de dados pessoais e estabelece para as empresas a obrigação de garantir os direitos dos titulares. Também cria mecanismos para que isso ocorra de forma rápida e eficaz.

Empresas que já possuem outras obrigações relacionadas à proteção de dados pessoais previstas em outras leis permanecem obrigadas, a menos que a LGPD disponha em contrário.

Além disso, a LGPD estabelece uma autoridade fiscalizadora e sancionadora, para prevenção e repressão de práticas abusivas, relativamente a dados pessoais. Também é atribuição dessa Autoridade Nacional de Proteção de Dados (ANPD) educar a população sobre privacidade e proteção de dados pessoais.

Em resumo, a LGPD trouxe uma mudança de paradigma em relação ao tratamento de dados pessoais, com a criação de 10 bases legais para tratamentos de dados pessoais em substituição ao consentimento como solução para todos os casos de tratamento de dados pessoais. Criou requisitos para a validade do consentimento, aumentando o poder dos titulares de dados pessoais nas relações com as empresas.

Existe alguma transição a ser feita nos processos de coleta e armazenamento de dados pessoais?

É importante lembrar que a LGPD não estabelece um período de transição para as empresas se adequarem. A partir do dia 16 de agosto de 2020, todas as empresas estarão sujeitas a ela e deverão cumprir com todas as obrigações nela estabelecidas. A ANPD pode estabelecer períodos de transição para determinadas obrigações ou para determinados tipos de empresa, mas ainda não há nenhuma previsão nesse sentido.

Por esse motivo, as empresas devem, o quanto antes, iniciar os trabalhos de adequação.

O primeiro passo é conhecer os tipos de dados pessoais tratados pela empresa, para qual finalidade, como são tratados e identificar qual a base legal para esse tratamento. A partir daí, é feita uma análise para identificar eventuais inconsistências com a lei e fragilidades. Feito esse diagnóstico, a fase seguinte consiste no estabelecimento de procedimentos, controles e processos para corrigir as falhas e fragilidades identificadas. A terceira fase é a manutenção dessa dinâmica ao longo da atividade da empresa.

O tamanho da empresa influencia na aplicabilidade da lei? Quais são exemplos de penalizações?

As obrigações estabelecidas na LGPD são aplicáveis de forma indistinta, independentemente do porte da empresa. Muito embora, durante a tramitação da LGPD no Congresso Nacional, tenham sido feitas objeções à subordinação de microempresas e empresas de pequeno porte ao regime da LGPD (da mesma forma que empresas maiores) em função dos custos de se implementar todas as medidas exigidas.

No entanto, a LGPD atribui à ANPD competência para editar normas, orientações e procedimentos simplificados e diferenciados para que microempresas e empresas de pequeno porte e startups possam se adequar à lei (Art. 55-J, XVIII, LGPD).

Em relação à aplicação de multas, a ANPD considerará, dentre outros fatores, a condição econômica do infrator (Art. 52, Par. 1º, IV).

De acordo com o artigo 52, II, da LGPD, a multa simples aplicável pela ANPD é limitada a 2% do faturamento da pessoa jurídica, grupo ou conglomerado no Brasil no último exercício, excluídos os tributos ou R$ 50.000.000,00 por infração. Em caso de aplicação de multa diária, este limite também deve ser observado.

O valor da multa não deve ser a principal preocupação das empresas em relação à LGPD e não há motivo para histeria. Porém, é importante que as empresas de médio e pequeno porte tenham em mente que a LGPD estabelece responsabilidade solidária entre controladores e operadores de dados pessoais.

Assim, uma empresa média ou pequena em desconformidade com a LGPD que, na qualidade de operadora de dados pessoais, cometa uma infração ao tratar dados pessoais no âmbito de um contrato com uma empresa que seja a controladora dos dados, pode fazer com que essa empresa controladora seja responsabilizada e multada.

Por isso, a conformidade de pequenas e médias empresas com a LGPD será – e já tem sido – uma exigência de empresas de grande porte para a celebração de contratos, a exemplo do que aconteceu com a lei anticorrupção, e passam a ser uma vantagem competitiva.

Pelo mesmo motivo, empresas de pequeno e médio porte devem buscar parceiros certificados e que demonstrem atender as exigências da LGPD, para que eventual falha por parte desses parceiros não afetem a empresa contratante.

As medidas de segurança e prevenção adotadas pelas empresas também serão analisadas com rigor diferente, conforme o porte e a atividade da empresa. A ANPD pode determinar padrões técnicos mínimos para as medidas de segurança.

Todos os contratos vigentes precisarão ser ajustados?

A LGPD estabelece responsabilidade solidária entre o controlador e o operador dos dados pessoais. Isso significa que, se um fornecedor sofrer um incidente com dados pessoais enquanto os estiver tratando para a empresa contratante, esta pode ser responsabilizada pelos danos causados aos titulares de dados pessoais.

Por isso, é recomendável aditar os contratos com fornecedores que envolvam algum tipo de tratamento de dados pessoais para garantir que o fornecedor esteja em conformidade com a LGPD e que ele adote medidas de segurança e prevenção de danos ao titular de dados em um nível semelhante ao aplicado pela empresa contratante.

No entanto, não são todos os contratos que precisarão ser aditados, visto que muitos produtos e serviços não envolvem tratamento de dados pessoais.

Qual o impacto da lei sobre a captação de imagens em ambientes de acesso público?

A captação de imagens em ambientes de acesso público tem um grande potencial de violar direitos fundamentais dos titulares de dados pessoais, como a privacidade e intimidade. Por isso, é muito importante identificar os riscos que a instalação de uma câmera em um determinado local ou o uso de uma tecnologia de rastreamento de pessoas dentro de um ambiente gera e se eles são compatíveis com a estratégia da sua empresa.

Com a entrada em vigor da LGPD, será necessário documentar todas as câmeras instaladas em um determinado local, a finalidade da captação de imagens e o ciclo de vida da imagem – por exemplo, se o ambiente apenas é monitorado em tempo real ou se a imagem capturada é armazenada e/ou compartilhada.

As câmeras devem ser facilmente identificadas pelas pessoas transitando nos ambientes filmados e informações sobre o tratamento feito com as imagens captadas devem estar disponíveis nos ambientes filmados de forma que as pessoas possam se informar facilmente, sem precisar pedir informações.

O uso de tecnologias para tratamento da imagem captada deve ser considerado com cuidado. Se as pessoas forem identificadas ao transitar em um ambiente por meio de suas características físicas ou biométricas, a empresa tratará dados pessoais sensíveis, que requerem medidas extras de segurança e precaução.

Quais são os processos existentes nos shoppings que podem envolver o tratamento de dados pessoais sensíveis? 

Podemos exemplificar aqui algumas práticas comuns ao setor, não só no relacionamento com os seus clientes e visitantes, como também com os lojistas, funcionários e colaboradores.

O uso de tecnologias de reconhecimento facial, monitoramento por câmeras para padrões de tráfego e consumo (podem conter atributos físicos ou biométricos), redes públicas de Wi-Fi também podem possibilitar acesso indevido a dados sensíveis, dados sobre saúde dos funcionários dos shoppings, entre outros.

É importante que cada shopping identifique dentre os seus próprios processos e práticas aqueles que podem implicar tratamento de dados sensíveis ou que permitem inferir dados sensíveis.

É necessário o shopping ter um DPO no quadro de funcionários ou pode ser contratada uma empresa que presta serviço?

O DPO (da sigla em inglês Oficial de Proteção de Dados) não precisa, necessariamente, ser um funcionário do shopping. A escolha entre um funcionário ou uma empresa (DPO as a service) deve ser feita com base na estrutura do shopping, nas atribuições traçadas pelo shopping (tipo de atribuições e volume de trabalho) e na expectativa de demandas de titulares de dados, clientes e da autoridade.

Em processos onde exista vídeo analítico (placas ou facial), é necessário solicitar o consentimento do titular dos dados para continuar com esses processos no shopping?

Depende da finalidade para a qual a imagem está sendo gravada e analisada. O uso de sistemas de inteligência artificial, como Video Analytics ou Vídeo Analítico possibilita que diferentes elementos detectados pela câmera sejam organizados e processados para uma determinada finalidade / conclusão.

Conforme mencionado anteriormente, a base legal apropriada legitimará o tratamento de dados. Existem hipóteses em que não será necessário coletar o consentimento do titular. Mas, é necessário analisar o caso concreto e, especialmente, a finalidade desse tratamento e se há ou não compartilhamento dessas informações.

Qual seria a diferença entre detecção facial e o reconhecimento facial para fins de aplicação da LGPD?

Este é um tema que pode vir a ser regulamentado pela ANPD com o objetivo de tornar mais claras as regras aplicáveis a essas tecnologias, principalmente em relação à detecção facial.

Dito isso, a definição de dado pessoal sensível da LGPD (Art. 5º, II) faz referência a “dado genético ou biométrico, quando vinculado a uma pessoa natural”. Sendo assim, ao utilizar reconhecimento facial, a empresa necessariamente está tratando dados pessoais sensíveis e precisará observar as regras mais rígidas para essa categoria de dado pessoal.

Já a detecção facial, em razão de apenas identificar a existência ou presença de um rosto humano em um determinado local, não necessariamente trata dados pessoais sensíveis. Até porque, pode ser que a tecnologia utilizada no processo de detecção facial já implique anonimização de dados desde o momento de captura da imagem.

A documentação sobre a tecnologia empregada de detecção facial deve ser muito clara e completa ao informar sobre os dados/elementos captados pelo sistema de detecção facial: se eles permitem identificar uma pessoa específica e, se a última resposta for positiva, o que é feito com os dados que permitem a identificação da pessoa. Se em algum momento do tratamento for possível identificar uma pessoa específica (mesmo que por segundos), haverá tratamento de dados pessoais sensíveis e precauções extra deverão ser adotadas.

Qual será o papel da ANPD relacionada à operação em shoppings e a sua interface com a Abrasce, sendo esta última representante do setor de shoppings no Brasil?

Além dos papéis de fiscalização e sanção, a ANPD também tem como função “estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle dos titulares, os quais deverão levar em consideração as especificidades das atividades e o porte dos responsáveis” (Art. 55-J, VIII).

Em relação a essa competência da ANPD, a Abrasce poderá trabalhar em conjunto com a ANPD para criar códigos de conduta e boas práticas a serem aplicados pelos shopping centers no Brasil.

Como podemos classificar os interesses legítimos do controlador?

Além do legítimo interesse do controlador ou de terceiro, existem outras 9 bases legais que devem ser sempre levadas em consideração no tratamento de dados pessoais, sendo que apenas uma base legal (a que for mais apropriada) deverá justificar cada tratamento de dados.

A LGPD estabelece, em seu artigo 10, parâmetros para determinar se é ou não legítimo interesse do controlador ou de terceiro. Além do teste do artigo 10 sobre a legitimidade do interesse para cada aplicação que implique tratamento de dados pessoais, deve ser elaborado um relatório de impacto à proteção de dados pessoais quando um tratamento de dados for justificado por legítimo interesse.

A definição de relatório de impacto à proteção de dados pessoais está no artigo 5º, XVII, LGPD, e consiste em balancear os interesses que o tratamento de dados atenderia e os riscos que ele representa para os direitos e liberdades do titular de dados pessoais.

Uma das regras para se tratar dados é o aceite do titular dos dados (com exceção aos dados pessoais elencados no artigo 4º – quando falamos de procurados pela justiça e/ou de pessoas que causam riscos ao interesse legitimo do controlador). Como fazer para deixar claro e comprovar para a ANPD que houve este aceite? 

O consentimento, ou aceite, não é a única base legal para justificar tratamentos de dados pela LGPD, existem outras 9 bases legais admitidas, e pode ser que uma delas seja mais apropriada, dependendo do caso específico.

Dito isso, é importante notar que mesmo a exceção listada no artigo 4º, III, d, da LGPD (dados pessoais tratados para fins exclusivos de atividades de investigação e repressão de infrações penais) é limitada para a procedimentos a cargo do poder público ou entidades privadas agindo a serviço do poder público (Art. 4º, § 2º, LGPD). Mesmo nesses casos, devem ser observados o devido processo legal, os princípios gerais de proteção e os direitos do titular previstos na LGPD (Art. 4º, § 1º, LGPD).

Quando um tratamento de dados for justificado pelo consentimento do titular, é dever da empresa guardar a prova de que o titular consentiu com o tratamento e que o consentimento é válido. Sobre a validade do consentimento, os requisitos do artigo 8º da LGPD devem ser respeitados.

Existe ainda a liberdade e direito do titular dos dados em solicitar a exclusão destes aos quais previamente havia autorizado. Como fazer para deixar claro e comprovar para a ANPD que houve esta exclusão? 

A demonstração de que uma solicitação de exclusão foi executada poderá ser feita de várias maneiras, a depender dos sistemas que a empresa utiliza e da forma como ela armazena dados. Essa discussão deve ser feita com a participação da equipe de TI de cada empresa.

Qual impacto da lei sobre a captação de dados de permissão de acesso (foto, dados pessoais, biometria)?

Dados biométricos são dados pessoais sensíveis segundo a LGPD e, por isso, têm uma proteção maior. Assim, o impacto é diferente em se tratando apenas de dados cadastrais (como Nome e RG) ou se envolver fotos, dados biométricos.

Em relação a dados pessoais comuns, são aplicáveis as mesmas obrigações de transparência, documentação e direitos do titular.

Em relação a dados pessoais sensíveis, existem bases legais que permitem o tratamento de dados pessoais sensíveis sem consentimento. Quando forem fundamentais para uma das finalidades previstas em lei – por exemplo, para a preservação contra fraude e da segurança do titular. Sempre respeitando os direitos do titular listados no artigo 9º da LGPD e as liberdades fundamentais do titular.

Os dados PF mesmo que estejam no cadastro de PJ entram na LGPD como dados pessoais?

Sim. Este é um caso de tratamento de dados pessoais dentro do território brasileiro e que não se enquadra em nenhuma das categorias de tratamento de dados que a LGPD exclui de sua incidência, listadas no artigo 4º da LGPD.

 

Disponível em: revistashoppingcenters.com.br/artigo/tire-suas-principais-duvidas-sobre-a-lgpd/