A Lei Geral de Proteção de Dados e os Sindicatos
Dados pessoais sensíveis e seu tratamento
1. Bases Históricas
Como em grande parte de sua legislação, o Brasil buscou as bases para seu regramento geral de proteção de dados no direito estrangeiro. A título de exemplo de leis anteriores, podemos citar: a Lei de Protecção de Dados Pessoais (Angola, 2011), o Regulamento Geral sobre a Proteção de Dados (Regulamento EU 2016/79 – RGPD da União Europeia), a Ley General de Protección de Datos Personales (México, 2017) e o California Consumer Privacy Act (Estados Unidos, 2018).
Inclusive, na própria legislação brasileira foram lançadas bases que desaguaram na atual LGPD, dentre as quais podemos citar: A Lei de Acesso à Informação (Lei 12.527/2011), Lei de Delitos Informáticos (Lei 12.737/2012) e o Marco Civil da Internet (Lei 12.965/2014). Todos trataram, em alguma medida, sobre a proteção de dados pessoais.
2. Publicação e entrada em vigência da LGPD
No dia 14 de agosto de 2018 foi publicada a lei ordinária n. 13.709. Inicialmente, ela somente fazia alterações na, também, Lei ordinária n. 12.965 de 23 de abril de 2016 (Marco Civil da Internet). Ocorre, no entanto, que, com a aprovação da Lei n. 13.853, de 2019, se tornou, de mera alteração do citado Marco Civil, para legislação independente: Lei Geral de Proteção de Dados, ou LGPD.
Com vigência a partir de agosto de 2020, foi publicada para criar um cenário de segurança jurídica, com normas e práticas padrão para proteger os dados de todo cidadão que esteja no Brasil, nos meios digitais e fora deles. Assim, seus outros objetivos são, na forma de seu artigo 1º: proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Para tanto, tem como fundamentos: o respeito à privacidade; a autodeterminação informativa; a liberdade de expressão, de informação, de comunicação e de opinião; a inviolabilidade da intimidade, da honra e da imagem; o desenvolvimento econômico, tecnológico e a inovação; a livre iniciativa, a livre concorrência e a defesa do consumidor e, por fim; os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.
A legislação, em questão se aplica a operações de tratamento de dados, realizada por pessoa natural ou jurídica de direito público ou privado, mas o que seria esse tratamento de dados?
De acordo com o inciso X do artigo 5º, é toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
3. Os dados propriamente ditos e seu tratamento
Os dados, conforme a LGPD, são definidos em duas categorias: pessoais e pessoais sensíveis. Em suma, são os mesmos, mas que, a depender de sua origem, torna seu tratamento mais estrito.
Pessoais são todos os dados que estejam relacionados à pessoa natural identificada ou identificável (Nome, RG, CPF, telefone, endereço entre outros).
Por sua vez, tais dados serão considerados sensíveis quando são de origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
Repiso: quando indica a filiação a sindicato, não se trata de mero dado pessoal, mas sim de dado pessoal sensível. Este, nos dizeres de Bruno Ricardo Bioni[1] são: “uma espécie de dados pessoais que compreendem uma tipologia diferente em razão de seu conteúdo oferecer uma especial vulnerabilidade, discriminação”. Portanto, no que toca a filiados de entidades sindicais, requer-se um tratamento mais estrito dos dados.
Assim diferenciaremos o tratamento de dados pessoais e dados pessoais sensíveis, fazendo o cotejo entre os artigos 7º e 11º da LGPD. O dado pessoal, propriamente dito, poderá ter seu tratamento realizado nas seguintes hipóteses:
Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
I - mediante o fornecimento de consentimento pelo titular; II - para o cumprimento de obrigação legal ou regulatória pelo controlador; III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei; IV - para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais; V - quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados; VI - para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem); VII - para a proteção da vida ou da incolumidade física do titular ou de terceiro; VIII - para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; IX - quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou X - para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
Portanto, temos 10 hipóteses para o tratamento dos dados pessoais. Veja que são situações tratadas de forma mais direta, sendo que, o simples consentimento[2] do titular, também é dado de forma direta e esclarecida, porém sem muitos pormenores, como, por exemplo, o fornecimento do próprio CPF para se conseguir um desconto na farmácia. Há a manifestação livre, informada e inequívoca, donde advém a concordância do titular para o tratamento de seus dados, para finalidade determinada.
No entanto, quando se trata de dados pessoais sensíveis (aqueles advindos de Sindicatos, por exemplo), as hipóteses de tratamento se revestem de um cuidado maior, como podemos ver no artigo 11:
Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:
I - quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas; II - sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para: a) cumprimento de obrigação legal ou regulatória pelo controlador; b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos; c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis; d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ; e) proteção da vida ou da incolumidade física do titular ou de terceiro; f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.
Dessa vez, como se pode ver, o consentimento do titular (ou de seu responsável legal) deve ser dado de forma específica e destacada, para finalidades específicas.
Assim, a anuência não pode ser genérica, mas livre de vícios, após acesso prévio, completo e detalhado sobre o tratamento dos dados, incluindo aí, segundo Carlos Nelson Konder[3]: “… natureza, objetivos, métodos, duração, justificativa, finalidades, riscos e benefícios, assim como de sua liberdade total para recusar um interromper o tratamento de dados em qualquer momento, tendo o controlado, ou o operador, a obrigação de informar, ao titular, em linguagem adequada, não técnica, para que ele a compreenda”.
Torna-se necessário, aos Sindicatos, adequar o tratamento de dados de seus filiados, em quaisquer situações, tendo, como norte, sempre, as hipóteses do artigo 11 da Lei de regência, pois que deve se revestir de tratamento mais estrito.
Além disso, como prescrevem os artigos 15 e 16, destacamos que os Sindicatos deverão findar as operações de tratamento de dados quando se verificar que a finalidade de tais tiver sido alcançada ou não sejam mais necessárias para a consecução dos objetivos, ou, ainda, tenha se findado o período determinado para que ocorresse a operação. Ainda, deverá ser terminada em caso de pedido do titular dos dados, resguardado o interesse público, ou quando houver determinação da Autoridade Nacional de Proteção de Dados, em caso de violação à LGPD.
Assim, quando do término da operação de tratamento, os dados pessoais serão eliminados, no âmbito e limites técnicos das atividades, sendo autorizada a sua conservação em caso de: cumprimento de obrigação legal ou regulatória pelo controlador; estudo por órgão de pesquisa, garantida, sempre que possível, que os dados fiquem anônimos[4]; transferência a terceiro, desde que respeitados os requisitos de tratamento dos dados e, por fim; uso exclusivo do controlador, vedado o acesso por terceiro, e desde que anonimizados os dados.
4. Do Sindicato como Agente de Tratamento de Dados
As entidades sindicais, que possuem bases de dados com pessoas filiadas e desfiliadas, se assemelham à figura do Controlador, que, na forma do inciso IV do artigo 5º da LGPD, é a: “pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.”.
Nessa qualidade, conforme artigo 37, deve manter registro de todas e quaisquer operações de tratamento que realizarem, especialmente quando baseado em seu legítimo interesse ou de seus associados. Além disso, quando determinar alguma das citadas operações, além do consentimento específico e não genérico dos titulares de dados, deve também, instruir de forma clara aos operadores que irão realizar o tratamento dos dados dele recebidos.
Ainda, deverá indicar uma pessoa (ou grupo de pessoas) encarregado pelo tratamento dos dados pessoais, com identificação pública, de forma clara e objetiva, e, preferencialmente, no sítio eletrônico do Sindicato.
Tal encarregado terá as seguintes obrigações: Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; receber comunicações da Autoridade Nacional de Proteção de Dados[5] e adotar providências; orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
5. Da Responsabilidade, ressarcimento de danos e segurança
Lado outro, ao tratar os dados sensíveis conforme prescrito, o Sindicato, enquanto controlador, deve se cercar dos cuidados necessários, tendo em vista que a Lei Geral de Proteção de Dados prevê sua responsabilização em caso de dano patrimonial, moral, individual ou coletivo, em violação à legislação protetiva em comento, obrigando-o a repará-lo, como prescrito pelo artigo 42.
Ainda, para se assegurar a efetiva indenização ao titular dos dados, aos controladores que estiverem diretamente envolvidos nas operações donde acontecerem danos, respondem, solidariamente[6], salvo se comprovadas uma das seguintes hipóteses:
- Não terem realizado o tratamento de dados pessoais que gerou o evento danoso; - Caso tenham realizado tal tratamento, ele não o foi com violação da legislação protetiva de dados; - O dano ser decorrente de culpa exclusiva do titular de dados ou de terceiros.
Além disso, temos que o tratamento dos dados pessoais será irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes. Sobre estas últimas, citam-se:
- Modo pelo qual é realizado o tratamento dos dados; - Resultados e riscos que, razoavelmente, dele se esperam; - Técnicas de tratamento de dados pessoais disponíveis à época em que foi realizada a operação.
Mais, ainda responde pelos danos o controlador que deixar de implementar medidas preventivas previstas na própria LGPD. Mas que medidas seriam essas?
Conforme o artigo 46, os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento adequado ou ilícito.
E, apesar de não exemplificar como seriam as medidas, indica que a ANPD poderá dispor sobre padrões técnicos mínimos para tornar aplicável o disposto no citado artigo, considerado a natureza das informações tratadas, as características específicas do tratamento e o estado atual da tecnologia, especialmente no caso de dados pessoais sensíveis e os princípios que regem a legislação.
E, como sempre, cabe indicar que, os dados pessoais tratados por entidades sindicais se revestem de especial qualidade, isso porque, ao identificarem seus filiados, tornam-se sensíveis, e, portanto, capazes de sujeitar seu titular a situações de discriminação e perseguição, por exemplo.
Em caso de incidente de segurança, ou seja, situação que possa acarretar risco ou dano relevante aos titulares de dados tratados, o Sindicato deverá comunicar à ANPD, em prazo razoável[7], mencionando, ao menos:
- A descrição da natureza dos dados pessoais afetados; - As informações sobre os titulares envolvidos; - A indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial; - Os riscos relacionados ao incidente; - Os motivos da demora, no caso de a comunicação não ter sido imediata; - As medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
De posse dessas informações, a ANPD verificará a gravidade do incidente e poderá, caso necessário, e para a salvaguarda os direitos dos titulares, determinar às entidades sindicais a adoção de providências, tais como: Ampla divulgação do fato em meios de comunicação, e medidas para reverter ou mitigar os efeitos do incidente.
Fica facultado, também, aos controladores e operadores, no âmbito de suas competências, individualmente ou por meio de associações, formular regras de boas práticas e de governança que estabeleçam condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.
Assim, ao estabelecer tais regras, os controladores terão de levar em consideração, em relação ao tratamento e aos dados, a natureza, o escopo, a finalidade e a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamentos de dados do titular.
Por fim, na aplicação dos princípios de Segurança e Prevenção, que norteiam a legislação de proteção de dados, as entidades sindicais, enquanto controladoras de dados, observadas a sua estrutura, escala e volume de operações, bem como a sensibilidade dos dados (sempre sensíveis) tratados, a probabilidade e gravidade dos danos para os titulares, poderá implementar programa de governança em privacidade que, minimamente:
- Demonstre o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais; - Seja aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo como se realizou sua coleta; - Seja adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados; - Estabeleça políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade; - Tenha o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular; - Esteja integrado a sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos; - Conte com planos de resposta a incidentes e remediação; - Seja atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas.
Tal programa de governança em privacidade, caso implementado, deve ter sua efetividade demonstrada quando apropriado, sobretudo quando a pedido da ANPD, ou de outra entidade responsável por promover o cumprimento de boas práticas ou códigos de conduta que, de alguma forma, promovam o cumprimento da LGPD.
6. Das sanções administrativas
Excetuando-se a responsabilização civil e criminal advindas do uso irregular dos dados pessoais nas operações de tratamento operadas pelos Sindicatos, enquanto controladores, que se encontram na legislação especializada (Código Civil, Código Penal, Código do Consumidor, entre outras), a LGPD apresenta uma série de sanções administrativas que poderão ser aplicadas pela Autoridade Nacional de Proteção de Dados, em caso de infração às normas presentes na citada Lei. São elas:
- Advertência, com indicação de prazo para adoção de medidas corretivas; - Multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração; - Multa diária, observado o limite total a que se refere o inciso II; - Publicização da infração após devidamente apurada e confirmada a sua ocorrência; - Bloqueio dos dados pessoais a que se refere a infração até a sua regularização; - Eliminação dos dados pessoais a que se refere a infração; - Suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador; - Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período; - Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Salientamos que, conforme a legislação analisada, as sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade de ampla defesa, e de forma gradativa, isolada e cumulativa, de acordo com as peculiaridades do caso concreto e considerados os seguintes parâmetros e critérios:
- A gravidade e a natureza das infrações e dos direitos pessoais afetados; - A boa-fé do infrator; - A vantagem auferida ou pretendida pelo infrator; - A condição econômica do infrator; - A reincidência; - O grau do dano; - A cooperação do infrator; - A adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com o disposto no inciso II do § 2º do art. 48 desta Lei; - A adoção de política de boas práticas e governança; - A pronta adoção de medidas corretivas; - A proporcionalidade entre a gravidade da falta e a intensidade da sanção.
Como dito no primeiro parágrafo deste tópico, as sanções administrativas presentes na LGPD não substituem a aplicação de sanções administrativas, civis ou penais definidas pelo Código de Defesa do Consumidor ou em legislação específica.
Além disso, como se pode ver, as sanções serão aplicadas de forma gradativa, sendo que a adoção de governança e boas práticas também é considerada como ponto positivo na análise de eventual infração.
7. Conclusão
Diante do que foi exposto, temos que os Sindicatos, como agentes de tratamentos de dados, em grande parte de sua atuação, serão considerados “controladores”, porque detém os dados de seus filiados, e ordenam o seu tratamento, em relação a um órgão da administração pública, a um empregador ou a uma empresa com que faz convênio, por exemplo.
Assim, sempre que o dado partir do Sindicato para um operador, ou seja, o Sindicato fornecer um dado de um filiado, é preciso considerar a alta sensibilidade dele, pois identifica uma filiação sindical, conforme artigo 5º, II, da Lei em análise.
Por isso, sempre que for fazer alguma operação de tratamento de dados, é preciso colher o consentimento do titular do dado (geralmente, o filiado), ou de seu responsável legal, de forma específica e destacada, para finalidades específicas. Conforme explanado anteriormente, o consentimento a ser dado para o caso de dados pessoais sensíveis não pode ser genérico, mas sim obedecer a uma série de critérios e requisitos, sob pena da irregularidade de seu tratamento.
As Entidades Sindicais deverão manter registro de todas as atividades de tratamento de dados que realizarem e, ainda, manter alguém encarregado de fazer a interlocução entre a entidade, a Autoridade Nacional de Proteção de Dados e os Titulares dos dados pessoais. Este encarregado deve ser facilmente identificado e identificável no sítio eletrônico do Sindicato.
Os Sindicatos, enquanto controladores de dados pessoais, possuem responsabilidade solidária, em caso de danos aos titulares de tais dados. Dessa forma, é importante que, além de todo o cuidado nas operações de tratamento, é necessária a adoção de medidas de segurança técnicas, administrativas, para proteger tais dados, bem como há a possibilidade de se estabelecerem regras de boas práticas e governança que indiquem toda uma série de condições para a mitigação de riscos e proteção de dados dos titulares.
Valioso observar que, a implementação de políticas de boas práticas e de governança são indispensáveis para uma melhor análise de eventuais danos que venham a ocorrer, e diminuição da gravosidade das Sanções Administrativas aplicáveis.
Salientamos, que, apesar de sua gradativa gravosidade, as Sanções presentes na LGPD não são estanques, ou seja, não substituem outras, de natureza administrativa, cível ou penal, presente no Código de Defesa do Consumidor, por exemplo.
Vimos assim, que, para os Sindicatos, a LGPD traz uma grande necessidade por transparência no uso dos dados de seus filiados, que vai da clareza das informações prestadas, à implementação de canais de comunicação, que sempre devem prezar pela objetividade e rápida resposta na resolução de problemas.
Portanto, urge que sejam implementadas as chamadas políticas de boas práticas e governança, não somente para trazer segurança aos filiados, mas também para proteger as próprias entidades sindicais, e evitar que sofram as pesadas sanções administrativas presentes na Lei analisada, que podem ser cumuladas com outras presentes em outros diplomas jurídicos.
Por Daniel Hilário advogado especialista em Defesa do Servidor Público no escritório Cassel Ruzzarin Santos Rodrigues Advogados
[1] BIONI, Bruno Ricardo. Proteção de Dados Pessoais – A Função e os Limites do Consentimento. Forense, 10/2018. Pág. 84
[2] Art. 5º (…) XII – consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
[3] O consentimento no Biodireito: Os casos dos transexuais e dos wannabes. Revista Trimestral de Direito Civil, v. 15, p. 41-71, 2003
[4] Art. 5º Para os fins desta Lei, considera-se: (…)
III – dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento; (…)
XI – anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
[5]Órgão da Administração Pública Federal, integrante da Presidência da República, de interpretação da LGPD e do estabelecimento de normas e diretrizes para sua implementação: https://www.gov.br/anpd/pt-br
[6] Mesmo que a culpa não seja exclusiva do controlador, devido à responsabilidade solidária, o titular dos dados que for atingido pelo evento danoso pode demandar, diretamente, contra a entidade sindical, ao invés de ter de demandar, primeiro, contra o operador, por exemplo.
[7] A LGPD não define este prazo. De acordo com o GPDR (Regulamento Geral sobre a Proteção de Dados), do Direito Europeu vigente, há a obrigação de se fazer a comunicação de vazamento de dados em até 72 horas.
