Caio César Lima é sócio do Escritório Opice Blum, Bruno, Abrusio e Vainzof Advogados, maior escritório de Direito Digital do país.
Com o surgimento da LGPD surgem alguns questionamentos para quem trabalha com segurança eletrônica: Vou precisar pedir autorização de todas as pessoas que passarem pelo campo de visão da câmera da minha empresa? Posso usar analíticos de vídeo para aplicações de inteligência de negócio sem consentimento? Afinal, o que efetivamente pode ser considerado um dado pessoal quando se fala de monitoramento?
Para esclarecer algumas dessas dúvidas, a Digital Security conversou com o advogado Caio César Lima, sócio do Escritório Opice Blum, Bruno, Abrusio e Vainzof Advogados, referência em atuação na área de tecnologia, fraudes cibernéticas, compliance digital, proteção e gerenciamento de dados, contratos de tecnologia, propriedade intelectual e telecomunicações.
Digital Security: A nova lei de proteção de dados não é aplicada para casos de Segurança Pública e Defesa Nacional, mas no caso da Segurança Privada há diversas tecnologias que podem capturar dados pessoais. Até que ponto esses dados coletados podem ser considerado um dado pessoal para ser enquadrado dentro dessa lei?
Caio Lima: Essa é uma questão muito pertinente porque estamos falando de uma Lei de Proteção de Dados Pessoais e o primeiro ponto que temos que entender sobre essa lei é o que é um dado pessoal para que as empresas entendam efetivamente o que vai ser objeto da sua proteção.
O conceito de dado pessoal é tudo aquilo que identifica ou torna identificável uma pessoa física, referenciada na lei como pessoa natural. É o que chamamos de conceito expansivo: tudo aquilo que de alguma forma puder tornar identificável uma pessoa física será considerado um dado pessoal.
Dessa forma, é óbvio que o nome, RG e CPF, por exemplo, são dados pessoais. Dentro desse contexto, ainda há o conceito de dados pessoais sensíveis, que são aqueles que tem um grau ainda maior de tratamento para que eles possam ser utilizados. Dentro dos dados sensíveis, entram informações de orientação política, filosófica, questões de orientação sexual, dados de origem étnica, social, informações médicas e de saúde e também informações que possam ser de biometria. Neste caso que você mencionou, as informações do rosto de uma pessoa são dados pessoais sim, e são dados pessoas dessa categoria especial.
Para que esses dados possam ser tratados, temos que estar dentro de uma das hipóteses trazidas dentro da legislação. As empresas realmente tem que ter uma atenção muito grande em relação ao tratamento de dados de biometria de pessoas porque é uma categoria especial dentro da lei.
É possível tratar dados sensíveis desde que esse tratamento seja com o objetivo de evitar um dano ou um problema para aquela pessoa
Digital Security: A Lei já prevê esse tratamento especial que os dados sensíveis devem receber ou ainda dependerá da regulamentação pela Autoridade Nacional de Proteção de Dados (ANPD) que ainda será criada?
Caio Lima: Já prevê. O Artigo 7 fala de todas as hipóteses que legitimam o tratamento de dados pessoais em geral. Ela é possível mediante o fornecimento de consentimento, para cumprimento de uma obrigação legal, para uso da administração pública, realização de estudos, execução de um contrato, entre outros.
O consentimento, neste caso, tem que ser livre, informado e inequívoco. Já quando se fala em dados pessoais sensíveis, esse consentimento tem que ser diferenciado. Tem que ser livre, informado, inequívoco, específico e destacado, ou seja, o titular terá que ser informado de que aquele dado sensível será usado especificamente para uma determinada finalidade. É uma transparência muito maior que se exige para que eu tenha um tratamento de um dado pessoal sensível.
Além do consentimento existem outras hipóteses que também legitimam esse tratamento de dado sensível, especificados no Artigo 11, que incluem obrigações legais, realização de estudos e a proteção da vida.
Resumindo, para que o controlador (a empresa que vai coletar os dados e dar as ordens em relação ao tratamento deles) possa tratar dados pessoais sensíveis, ele terá que ter muito mais cautela e atenção, com garantias de que ele tem realmente uma licitude no tratamento daqueles dados. Não é que os dados não poderão ser tratados, mas é que existem requisitos e objetivos mais robustos que precisarão ser contemplados.
Digital Security: De um ponto de vista mais prático, pegamos um exemplo de um shopping que tem câmeras instaladas com reconhecimento facial. Isso claramente é um dado pessoal sensível. O shopping precisaria pegar o consentimento dessa pessoa que está circulando no local para usar esses dados?
Caio Lima: Neste caso, entraria um debate sobre a finalidade pela qual a empresa irá coletar esses dados.
No artigo 11, inciso II, alínea e, a LGPD diz que posso coletar dados pessoais para proteção da vida ou incolumidade física do titular ou de terceiro. Então, nesta situação, eu posso tratar dados sensíveis desde que esse tratamento seja com o objetivo de evitar um dano ou um problema para aquela pessoa, para os usuários daquele shopping.
A lei permite que o shopping colete essa informação com essa finalidade específica de segurança e somente isso. Sem o consentimento, o estabelecimento não poderá usar esse dado para saber que horas uma determinada pessoa entrou, que horas ela chegou na loja A ou B, o horário e onde ela especificamente foi almoçar, com o uso de reconhecimento facial. Mas, para questões de segurança, há uma alínea específica para isso.
Eu até posso coletar informações desde que aquilo seja estritamente necessário para que eu possa atingir a finalidade que eu desejo. É um exercício constante que as empresas vão ter que fazer
Digital Security: No artigo 12, a LGPD prevê que se os dados forem anonimizados, eles não serão considerados dados pessoais. Neste caso, o negócio poderia usar informações para outras aplicações que não estão relacionadas necessariamente à segurança, como o planejamento de negócio?
Caio Lima: Nessa situação, entra um outro princípio que é extremamente importante e está previsto na lei: o da minimização da coleta. Eu até posso coletar informações desde que aquilo seja estritamente necessário para que eu possa atingir a finalidade que eu desejo. É um exercício constante que as empresas vão ter que fazer, se perguntando se realmente precisa coletar aquele dado para atingir o fim que almeja.
Um exemplo claro é um hospital, onde a primeira pergunta que vão te fazer depois do nome e endereço é qual é a sua religião. Essa pergunta é feita em alguns hospitais porque, na realidade, eles querem saber se é permitido fazer transfusão de sangue naquele paciente já que a denominação religiosa Testemunhas de Jeová não permite que esse procedimento seja feito. Se a gente passar por um princípio de minimização da coleta, a pergunta tem que ser não a minha religião, mas se eu aceito ou não fazer a transfusão de sangue. Uma pergunta sobre minha religião vai pegar mais dados do que ele precisa para atingir a finalidade que ele deseja.
Exatamente nesse sentido, esse shopping talvez não precise coletar e identificar o meu rosto, mas tão somente identificar aquelas pessoas que estão passando pela finalidade de segurança. Porque tem que ter uma finalidade justificável e tem que ter uma coleta mínima necessária para atingir aquele fim que criei.
Digital Security: Ainda neste exemplo, se um shopping ou qualquer outro estabelecimento tem uma parceria público-privada para ter acesso a um banco de dados de pessoas procuradas e ele usar um reconhecimento facial para identificar essas pessoas, não se enquadraria em uma lei de proteção de dados pessoais?
Caio Lima: Neste caso, ele teria que ter uma certa autorização do poder público para que ele tivesse acesso a esse banco de dados. Suponha que o estabelecimento coloca uma câmera na sua entrada principal e essa câmera fica vasculhando as pessoas que passam por lá e, se essa pessoa tiver um match com o banco de dados de procurados pela polícia, vai soar um alerta vermelho na cabine de segurança do shopping. Nesse caso, ele está tratando o dado apenas para fazer uma checagem se aquela pessoa é procurada pela polícia, se enquadrando em uma operação de segurança e proteção da vida e incolumidade física do titular ou de terceiro. É interessante ver essa questão porque a intenção tem que ser muito específica para isso.
Digital Security: O estabelecimento apenas terá que explicar essa intenção à Autoridade Nacional de Proteção de Dados ou ao poder judiciário, caso seja processada em algum caso baseado nessa lei?
Caio Lima: Exatamente. É preciso ter uma autorização específica para isso com o poder público para que consigam fazer esse uso. Mesmo assim, essa uso terá que ser com essa finalidade muito restrita porque vai tratar dados pessoais sensíveis.
A exclusão vai até o limite que há uma outra lei que me permite armazenar aqueles dados
Digital Security: No artigo 15, inciso III, a LGPD prevê que o titular dos dados poderá solicitar o término do tratamento dos seus dados pessoais. Não corre o risco de um eventual infrator solicitar a exclusão desses dados pessoais de um banco de dados privado baseado nessas leis para dificultar sua identificação?
Caio Lima: Sim, isso é possível que venha acontecer. Mas é importante ressaltar que esse direito a exclusão tem limites. Eu não posso pedir a exclusão sobre exatamente tudo que existe sobre a minha pessoa, porque essa exclusão vai até o limite que há uma outra lei que me permite armazenar aqueles dados.
Imagine que eu tenho um código tributário nacional que me obriga a manter uma Nota Fiscal por um prazo de 20 anos. Se um usuário pede para excluir todos os dados dele em uma loja, porque não quer mais que eles mantenham isso, o estabelecimento não vai poder excluir essa nota fiscal porque o código tributário obriga que eles mantenham isso por aquele prazo. O usuário até pode exercer o seu direito de exclusão mas esse direito é limitado ao que outras leis obrigam que seja armazenado.
Quando falamos de investigação policial, não existe prazo para armazenamento desses dados: enquanto estiver acontecendo a investigação, a autoridade policial poderá manter esses dados.
Digital Security: Neste caso, basta informar o usuário sobre essa impossibilidade de exclusão?
Caio Lima: Sim. No ato de exclusão, informa-se que de acordo com a lei de número específico, o estabelecimento é obrigado a manter essas informações por determinado tempo. Até porque não dá para descumprir uma lei para cumprir outra. Não faz sentido. Para harmonizar as leis, o negócio somente poderá excluir se não houver outra lei que o obrigue a manter aqueles dados.
O relatório de impacto à proteção de dados pessoais é obrigatório para empresas que tenham um sistema de monitoramento
Digital Security: A LGPD foi muito baseada na General Data Protection Regulation (GDPR) mas há outras derivações nos mais de 100 países que já contam com alguma norma relacionada a proteção de dados pessoais. As normas e órgãos dão uma atenção especial para o tema de tecnologia para segurança?
Caio Lima: Há uma atenção especial sim. Existe um documento chamado nessa lei brasileira de Relatório de Impacto à Proteção de Dados Pessoais. Nesse relatório, a organização é obrigada a incluir o Ciclo de Vida de Dados Pessoais, que é um mapeamento sobre todas as fontes de coleta, todos os usos que eu dou a esses dados pessoais, se eles são compartilhados, onde e como são armazenados, e o ciclo de exclusão dessas informações. Tudo isso tem que estar dentro de um livro, que tem que ser atualizado frequentemente por cada uma das empresas.
Esse relatório é obrigatório para quem faz, por exemplo, o monitoramento de áreas públicas. Se você faz um monitoramento em alta escala e armazena esses dados dentro de um shopping, de um hospital, de um restaurante, isso te traz uma obrigação de fazer esse Relatório de Impacto à Proteção de Dados.
Além desse mapeamento, a empresa tem que ter um histórico, garantindo que ela tenha o que a gente chama de uma Checagem de Proporcionalidade, ou seja, uma comprovação que ela realmente precisava coletar aqueles dados para atingir a necessidade que desejava.
A organização também tem que armazenar a finalidade que legitima o tratamento daqueles dados: se foi por consentimento, se foi para segurança ou se foi para execução de um contrato. É o fundamento que autoriza a empresa a tratar cada um daqueles dados que coleto e armazeno.
No relatório de impacto, a empresa ainda precisa anexar sua regra de Segurança da Informação com um Manual de Incidente de Segurança da Informação que indica os procedimentos que o Gestor de Segurança deve tomar caso haja algum incidente, como um vazamento.
Esse relatório de impacto à proteção de dados pessoais é obrigatório para essas empresas que tenham um sistema de monitoramento, desde CFTV até ferramentas de acompanhamento da atividade dos empregados dentro do ambiente de trabalho, seja monitorando e-mail ou uso de telefone, por exemplo.
Esse relatório é previsto também no GDPR, com o nome de DPIA (Data Protection Impact Assessment).
É importante mencionar que o GDPR serviu como clara inspiração para nossa lei, sem dúvida nenhuma, mas temos algumas pequenas diferenças em relação ao GDPR como, por exemplo, a figura do Encarregado do Tratamento de Dados Pessoais, que na Europa é o Data Protection Officer (DPO). Lá, as hipóteses em que as empresas vão ter que ter um DPO são mais restritivas, limitando-se à empresas que realizam tratamento em alta escala ou que possa trazer um elevado risco aos titulares daqueles dados. Aqui no Brasil, basicamente todas as empresas vão ter que ter um encarregado de proteção de dados.
Além disso, há a questão das notificações em caso de vazamento de dados. Há uma pequena diferença em relação ao GDPR, mas o LGPD traz isso de forma inédita ao Brasil. Hoje se acontecer um incidente de segurança da informação, as empresas não precisam notificar os titulares afetados por isso. A partir de fevereiro de 2020, com a nova lei em vigor, elas precisarão sim notificar os titulares, se isso trouxer um risco para a intimidade ou privacidade daquelas pessoas. É uma obrigação muito forte que surge também.
Por fim, para falar sobre semelhanças e diferenças com o GDPR, está a Autoridade Nacional de Proteção de Dados que até agora não foi criada, mas que provavelmente existirá e quando existir será muito semelhante ao que é previsto lá no GDPR.
No artigo 41, parágrafo 3º, a lei prevê que a ANPD ainda poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive com hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações, mas, de acordo com a Lei aprovada e sancionada, toda empresa deve ter essa figura. O que é um absurdo e algo que realmente pode impactar, especialmente em micro e pequenas empresas.
Digital Security: Qual o primeiro passo que as empresas devem tomar para começar a entender e atender essas legislações de proteção de dados?
Caio Lima: Já estamos trabalhando com alguns processos de importação de compliance para essa nova legislação.
O primeiro ponto é fazer uma palestra, um treinamento inicial, trazendo uma cultura de proteção de dados para as pessoas da empresa. É basicamente explicar os pontos principais da LGPD e trazer quais são os principais impactos que isso pode trazer dentro daquela organização.
Feito esse encontro de nivelamento, a organização escolhe, dentro daquele grupo, as principais pessoas que tem mais interesse no assunto, que serão aquelas que tocarão esse projeto dentro da empresa.
A partir dessa escolha das principais pessoas, começa o mapeamento do ciclo de vida dos dados pessoais. Mapeia todas as fontes de coleta de dados, todos os usos, os compartilhamentos, os armazenamentos e, por fim, qual o processo de exclusão.
Depois disso, começamos a redigir as políticas internas que aquela empresa precisa ter, incluindo a Segurança da Informação, as clausulas contratuais, disclaimers, aditivos de contrato.
Por fim, deve se fazer uma Política Externa de Segurança da Informação, porque a partir dessa lei, as empresas terão que ter essa preocupação também com os terceiros que compartilha os dados, porque se um dado vazar da mão de um terceiro eu também responderei por todos os prejuízos causados.
Fazemos todo esse caminho para que, no final, a empresa garanta que terá um relatório de impacto à proteção de dados pessoais, que poderá ser redigido pela Autoridade Nacional de Proteção de Dados, especialmente sobre algum incidente de segurança da informação.
Hoje, nós estimamos que leva-se entre 12 e 18 meses para que a empresa, ao final, esteja compliance com a nova legislação.
Comentários fechados.