Compliance com a lei geral de proteção de dados como forma de evitar a responsabilização civil
| Autor | Aristides Tranquillini Neto |
| Páginas | 241-257 |
13
COMPLIANCE COM A LEI GERAL DE PROTEÇÃO
DE DADOS COMO FORMA DE EVITAR A
RESPONSABILIZAÇÃO CIVIL1
Aristides Tranquillini Neto
Sumário: 1. Introdução. 2. Breve histórico. 3. Esclarecimentos preliminares. 3.1. Aplicabilidade.
3.2. Principais denições. 4. Conformidade. 4.1. Princípios. 4.2. Consentimento e execução de
contrato. 4.2.1. Demais bases legais. 4.3. Direitos do titular sobre os dados. 4.4. Transferência
internacional dos dados. 4.5. Obrigações adicionais da entidade. 4.6. Responsabilidades e
penalidades. 5. Conclusão. Referências.
1. INTRODUÇÃO
A proteção de dados é assunto cuja relevância vem aumentando consideravelmente
nos últimos anos, principalmente em decorrência das notícias cada vez mais recorrentes
sobre o assunto, abordando questões polêmicas como vazamentos de dados de milhões
de pessoas e “escândalos”, tais como a descoberta de que determinada empresa utilizava
os dados para finalidades indevidas (sem o consentimento do titular) ou que não adotava
práticas e metodologias adequadas no tratamento e compartilhamento de dados.
Como resultado, legislações e regulamentos surgiram ou foram atualizados, pas-
sando a estipular medidas e procedimentos a serem adotados por entidades públicas e
privadas, com o intuito de garantir maior segurança e direitos aos titulares dos dados.
Dessa forma, o presente artigo tem como objetivo auxiliar na compreensão da Lei Geral
de Proteção de Dados – LGPD, apontando os principais fatores que entidades privadas
precisam observar para estarem em conformidade com a legislação2.
Ressaltamos que o artigo não tem como intuito ser um “texto definitivo” sobre a
LGPD, analisando em detalhe cada artigo existente e suas possíveis ramificações, mas sim
uma abordagem mais simples e didática sobre os principais pontos de atenção, evitando o
uso de termos jurídicos ou técnicos para permitir que qualquer pessoa interessada possa
compreender a matéria, ao mesmo tempo em que fornece os subsídios para que leitores
interessados possam se aprofundar no assunto.
Como será abordado no decorrer do artigo, a conformidade com a legislação
é processo contínuo de acompanhamento e revisão. Especialmente por se tratar de
1. Esse artigo não reflete, necessariamente, a opinião do Grupo UOL.
2. Ressaltamos que o foco do artigo é a LGPD em si, não sendo abordadas eventuais outras regulamentações a que a
entidade possa estar sujeita, especialmente dependendo de seu ramo de atuação.
ARISTIDES TRANQUILLINI NETO
242
assunto novo e que gera interesse, diversas questões ainda estão abrangentes, as
quais devem se consolidar conforme regulamentos, jurisprudência e doutrina forem
evoluindo, sendo papel das entidades responsáveis acompanharem e se adaptarem
conforme necessário.
Tal adaptação envolve mais do que simplesmente publicar política de privacidade
que esteja em conformidade com a LGPD, cabendo também às entidades revisarem suas
metodologias, políticas e procedimentos internos para garantir conformidade com a
legislação, especialmente para poder atender a eventuais solicitações e exigências dos
titulares e da Agência Nacional de Proteção de Dados.
2. BREVE HISTÓRICO
Em maio de 2018 usuários ao redor do mundo receberam número significativo de
e-mails relacionados a atualizações de políticas de privacidade de produtos e serviços
online – talvez até de alguns produtos e serviços que não se lembravam de possuir conta
ou ter sequer se cadastrado.
Esses e-mails nada mais eram do que uma das diversas etapas necessárias para que
empresas entrassem em conformidade com a General Data Protection Regulation – GDPR3,
legislação europeia de proteção de dados, a qual foi inicialmente publicada em 2016 e
entrou efetivamente em vigor no dia 25 de maio de 2018.
A GDPR foi uma das mais significativas respostas legislativas4 a um movimento que
vem ocorrendo de forma gradual nos últimos anos, no qual governos e pessoas como
um todo passaram a tomar ciência de algo que diversas entidades privadas já haviam
compreendido: dados são um ativo valioso.
Essa percepção se deve em boa parte ao sucesso empresarial e financeiro que em-
presas ofertando serviços e produtos aparentemente gratuitos (sem exigir nenhuma
contrapartida financeira direta, mas apenas os dados de seus usuários) e aos diversos
incidentes relacionados a dados que ocorreram nos últimos anos, os quais incluem – den-
tre outros – vazamento de dados do Yahoo! envolvendo 3 bilhões de contas5 e da Target
envolvendo 110 milhões de clientes6, os diversos eventos em que o Uber esteve envol-
3. Versões em diversas línguas (inclusive Português) da GDPR podem ser encontrados em https://eur-lex.europa.
eu/legal-content/EN/TXT/?toc=OJ:L:2016:119:TOC&uri=uriserv:OJ.L_.2016.119.01.0001.01.ENG
4. Importante ressaltar que a GDPR substituiu a Diretiva 95/46/EC, também conhecida como Data Protection Directive,
a qual foi adotada em 1995, quando a Internet ainda estava em seu início.
5. A notoriedade desse caso decorre não apenas do número de contas comprometidas, mas também pela forma como o
Yahoo! lidou com a situação. Apesar de os incidentes terem ocorrido em 2013 e 2014, eles só se tornaram públicos
em 2016, quando iniciaram-se as negociações de aquisição da Yahoo! pela Verizon. Em um primeiro momento
teria sido constatado que os incidentes afetaram 1,5 bilhão de contas, porém posteriormente as investigações
demonstraram que todas as 3 bilhões de contas do Yahoo! haviam sido de alguma forma comprometidas. Dentre
os dados dos usuários a que hackers tiveram acesso incluem-se nomes, datas de nascimento, números de telefone,
senhas, perguntas de segurança e e-mails de backup (utilizados para resetar senhas perdidas/esquecidas).
6. Em dezembro de 2013 a Target confirmou que informações de cartões de crédito e débito de aproximadamente
110 milhões de clientes haviam sido roubadas. Após avaliação interna, a Target admitiu não ter reconhecido sinais
que indicavam a ocorrência de violação dos dados. Esse incidente fez com que o CEO e CIO renunciassem de seus
cargos.
Para continuar a ler
PEÇA SUA AVALIAÇÃO