Por Gabriel Felipe Silva das Neves
- Introdução
Com o início da difusão da informática, da internet e da rede mundial de computadores na sociedade, os diferentes usos possíveis aos dados pessoais fizeram com que se tornassem um dos ativos financeiros mais valiosos da sociedade digital, constituindo grande fonte de lucro para as empresas provedoras desses dados, contudo, em prejuízo da privacidade, da liberdade e de diversos outros direitos dos titulares.
Devido a isso, a dogmática envolvendo proteção de dados e o Direito Digital como um todo organizou os elementos necessários para a criação de base legal expressa com o fim de consolidar as seguintes ideias estruturantes: os dados devem ser protegidos e os danos evitados, de maneira que não apenas o cidadão passe a ter maior controle e proteção de seus dados, mas também que as empresas e administradoras desses dados estejam cientes de suas responsabilidades e tratem referidos dados de forma lícita e legítima, proporcionando garantias e fomentando o espaço adequado para um protegido fluxo de dados.
Dessa forma, devido à grande importância do tratamento dos dados pessoais para adaptação e lapidação dos serviços prestados por startups e estúdios de games, faz-se extremamente necessário que elas estejam em total conformidade com a legislação, que, atualmente, parece formar uma teia de proteção interligando os fundamentos, direitos e princípios da proteção dos dados às tipificações, conceituações e práticas definidas na LGPD.
É no intuito de esclarecer essa teia de proteção dos dados pessoais que o presente artigo irá se aprofundar nos conceitos-base da LGPD, a fim de facilitar o entendimento e a prática pelas startups e pelos estúdios.
- Segurança da Informação
A segurança da informação do consumidor se baseia no fato de que o consumidor dos serviços prestados pelas startups e pelos estúdios de games é a parte vulnerável e hipossuficiente da relação, já que não há meios para que ele interfira nos detalhes técnicos da proteção de seus dados, tendo que confiar que a empresa realize as medidas protetivas necessárias aos dados.
Na prática, o programa de segurança deve adotar tanto medidas técnicas quanto administrativas, unindo o uso de firewalls, métodos criptografados e demais tecnicidades com treinamentos e políticas de segurança dentro da empresa e com todos os funcionários.
Na LGPD, o art. 46 determina os termos dessa prática:
“Art. 46 Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito”
Esse dever tem de ser cumprido pela empresa mesmo sem expressa previsão nos contratos, com aplicação não apenas durante a execução contratual, mas também nas fases pré e pós contratuais. O interessante é que, tendo sua empresa transmitido as informações necessárias ao consumidor, referentes aos cuidados que ele deve ter para a proteção de seus dados, esse também terá de cumprir um dever próprio ao utilizar os serviços e produtos que possuam algum tipo de risco, de forma que a responsabilidade em eventual dano não seja apenas da empresa, evidenciando, assim, a importância da conscientização do consumidor a respeito não apenas de seus direitos, como também de seus deveres como usuário dos serviços.
- Categorias de dados pessoais
Compreendidos o conceito da segurança da informação e a necessidade de proteção de dados pessoais, é necessário entender as distintas categorias atribuídas à informação e aos dados pela LGPD (nos arts. 5º e 14º), que protegem os consumidores e penalizam as empresas conforme o nível de privacidade necessário:
- Diferenças entre “dados” e “informação”: Na LGPD, o legislador criou certa confusão com o uso do termo “informação”, porém, o que se procura é a proteção dos dados pessoais em si, que, por consequência, tutela a informação, responsável por traduzir as predileções, hábitos e interesses do titular dos dados. Nesse sentido, os dados têm conotação mais primitiva e fragmentada, são uma informação em estado potencial, uma espécie de pré-informação. Já a informação resulta da interpretação dos dados, é a partir dela que a pessoa tem expostos os dados; assim, os dados pessoais que estão armazenados, obtidos por meio de cadastros e do mercado digital, são eventualmente interpretados e as informações reveladas.
- Dado pessoal: O dado pessoal é, segundo o inciso I do art. 5º, da LGPD, toda “informação relacionada a pessoa natural identificada ou identificável” e viva, pessoa essa interpretada na lei como “titular” (inciso V do art. 5º), não se limitando a dados básicos, como nome e endereço, mas também a históricos e perfis de compra, localização, placas de automóvel, etc.
- Dado pessoal sensível: O dado pessoal sensível, definido pelo inciso II do art. 5º, está relacionado a características da personalidade e escolhas pessoais de uma pessoa natural, como acerca da “origem racial ou étnica, convicção religiosa opinião política, (…) dado referente à saúde ou à vida sexual, dado genético ou biométrico (…)”.
- Dado anonimizado: O dado anonimizado, posto no inciso III do art. 5º, é todo “dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento” (grifou-se), por meio do qual o dado perde a possibilidade de associação, direta ou indireta, à pessoa natural.
- Dados de crianças e adolescentes: A distinção de dados de crianças e adolescentes segue lógica diversa às outras categorias. Acompanhando a lógica protetiva do Estatuto da Criança e do Adolescente, os menores de idade possuem requisitos específicos estipulados no art. 14º da LGPD, para que haja maior proteção e mitigação de riscos desses que são mais vulneráveis.
- Princípios e itens de controle da LGPD
O legislador definiu, na LGPD, alguns princípios para o tratamento de dados pessoais, aos quais as startups e estúdios de games devem verificar estarem em conformidade por meio de itens de controle, de forma que, se os itens de controle estiverem presentes e sendo implementados no tratamento realizado pela empresa, os princípios estarão sendo atendidos.
Pelo art. 6ª da LGPD, tem-se dez princípios necessários para o tratamento legítimo, específico e explícito de dados pessoais, os quais são brevemente explicados na própria redação do artigo. Porém, a fim de oportunizar o entendimento prático, promove-se uma análise individualizada, observando-se a mesma ordem apresentada pelo artigo:
- A finalidade legítima do tratamento, que deve ser informada ao titular dos dados;
- A adequação do tratamento, para que seja compatível com a finalidade informada ao titular;
- O tratamento que deve ser limitado à necessidade mínima necessária para a realização de suas finalidades;
- A garantia ao titulares de livre acesso sobre a forma e a duração do tratamento, além da integralidade dos dados;
- A qualidade dos dados, garantida ao titular por meio da exatidão, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade;
- A transparência, garantida ao titular por informações claras, precisas e facilmente acessíveis sobre o tratamento;
- A segurança dos dados, adotando medidas técnicas e administrativas aptas a protegê-los de acessos não autorizados e de situação acidentais ou ilícitas;
- A prevenção para prevenir a ocorrência de danos;
- A obrigação de não discriminação no tratamento;
- E a responsabilização e prestação de contas, pelo agente, adotando medidas eficazes e capazes de comprovar o cumprimento das normas e a proteção dos dados do titular.
Assim, a LGPD introduziu também itens de controle que as empresas devem observar a fim de auxiliar na aplicação e regularização desses princípios no tratamento de dados pessoais. Os principais itens de controle são o tratamento de dados, o consentimento pelo titular, a autodeterminação informativa do consumidor e os agentes de tratamento (controlador, operador e encarregado dos dados):
- Tratamento de dados: Para compreender o tratamento dos dados, a explicação trazida pelo legislador no art. 5º, X, da LGPD mostra-se mais do que suficiente:
X – tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
- Consentimento pelo titular/consumidor: Já o consentimento do titular dos dados é um requerimento mais complexo da LGPD, estabelecido nos arts. 7º, inciso I, 8º, 11, inciso I, e 14, §3º, sob manifestação individual que autoriza e legitima a empresa a iniciar o tratamento. A forma e a força do consentimento se dão em níveis diferentes às diferentes categorias de dados pessoais, porém, em geral, sua necessidade se dá para proteger os dados pessoais de forma restritiva, de forma que a autorização do titular para o tratamento não poderá ser estendida para outros meios e momentos além daqueles pactuados ou para finalidade diversa; inclusive, qualquer eventual vício do consentimento veda a autorização para o tratamento.
- Autodeterminação informativa: O direito à autodeterminação informativa, incluído por meio do art. 2º, inciso II, da LGPD, define o direito do próprio titular dos dados de defendê-los em conformidade com seu consentimento livre e informado. Em linhas práticas, é o direito autônomo de cada indivíduo poder controlar e determinar o acesso e o uso de seus dados pessoais, assim decidindo substancialmente sobre o limite da divulgação e utilização de seus dados para o tratamento a ser realizado pelas empresas.
- Agentes de tratamento: Para entendimento prático, o controlador recebe os dados pessoais dos titulares por meio do consentimento – ou das hipóteses de exceção definidas pelos arts. 7º e 11º -; e o operador realiza o tratamento motivado por contrato ou obrigação legal, podendo ser um serviço terceirizado a partir do controlador. Quaisquer dos agentes podem ser pessoas naturais ou jurídicas, sendo vinculados à figura institucional da empresa, já que a capacidade de decisão e realização de atividades é sempre da instituição, e não do funcionário; dessa forma, um empregado específico não poderá ser responsabilizado como pessoa natural por quaisquer danos causados pela empresa detentora do título de controladora ou operadora.
- Encarregado dos dados: O encarregado deve ser contratado pelo controlador (conforme o art. 41 da LGPD) para atuar como canal de comunicação com os titulares das informações e a autoridade nacional, e como responsável na organização, orientação e treinamento das equipes da empresa para o cumprimento das regras da LGPD por meio das boas práticas e governança de dados – que serão aprofundadas no tópico seguinte -. O controlador pode nomear um colaborador interno da startup ou do estúdio, ou uma empresa externa com expertise na prestação desse serviço para a figura do encarregado; porém, a contratação da empresa externa é preferível devido à natureza dessa função, necessitando que o encarregado tenha domínio em processos de auditoria, em governança, em segurança da informação e na própria LGPD, além dos grandes riscos que envolvem a atividade e a importância de se evitar eventual conflito de interesses.
- Boas práticas e governança de dados
As boas práticas e a governança de dados são estabelecidas na Seção II da LGPD e deverão ser atribuídas às startups e aos estúdios como mecanismos internos de supervisão e de mitigação de riscos ao titular dos dados utilizando-se dos conceitos já aqui aprofundados e por meio de medidas praticadas pela própria empresa e por seus agentes, de modo a gerenciar os dados como os ativos organizacionais e críticos que são, que, caso não devidamente seguidas, ensejam a possibilidade da ocorrência do vazamento de dados que atrai a responsabilidade civil da empresa.
Com tais práticas, a LGPD objetiva estimular os agentes de tratamento a manter uma postura proativa na proteção dos dados e prevenção dos danos, incentivando o cumprimento da lei. Inclusive o art. 52, inciso IX, determina que a Autoridade Nacional de Proteção de Dados (ANPD) levará em conta as boas práticas e a governança na deliberação das sanções administrativas a serem aplicadas na eventual ocorrência de danos.
Porém, apesar da importância e incentivo desses instrumentos, o objetivo em suas aplicações não é de eliminação completa da chance de ocorrência de um ilícito, ato que seria impossível, mas sim de minimizar os riscos de que o ilícito ocorra, criando mecanismos que identifiquem com clareza o problema, se ele vier a se verificar na prática, e o combata de forma eficaz, rápida e adequada, como uma modalidade de autorregulação da atividade empresarial.
Na execução de fato, a implantação individual e sob medida das Boas Práticas e da Governança de Dados deverá ser realizada por meio de uma estratégia de Privacidade, Segurança e Risco alinhada com a estratégia de Dados e de Negócios da empresa, de forma que os diferentes papeis dos agentes sejam definidos na preparação e manutenção da empresa para os aspectos da LGPD, por exemplo, com base em políticas de qualidade dos dados, mapeamento de dados, análise e gerência de riscos, arquitetura de dados, compliance digital, treinamento constante com os funcionários, etc.
- Conclusão
Por meio de todo o exposto, entende-se que o foco da LGPD e de sua teia de proteção não é apenas a mitigação de dados ao titular dos dados, mas de toda a estrutura relacional entre empresas e consumidores.
Dessa forma, por meio da compreensão dos conceitos base aqui elencados, é essencial que as startups e estúdios de games, independentemente de seu tamanho no mercado, iniciem um processo interno de proteção aos dados com base na LGPD a fim de afastar o risco de incidentes informacionais e subsequente responsabilidade civil frente ao titular e à Autoridade Nacional de Proteção de Dados, que podem prejudicar vigorosamente a receita e a estabilidade da empresa.
Por fim, caso você tenha interesse em se aprofundar na legislação de proteção aos dados pessoais a fim de proteger a sua empresa, acompanhe o blog e as redes sociais da Caputo Advogados, com publicações e estudos recorrentes desses tópicos; inclusive, já possuímos no nosso blog uma publicação específica sobre aspectos da governança de dados na área da saúde.
*Gabriel Felipe Silva das Neves – Estagiário no Escritório Caputo Advogados. Graduando em Direito pela Universidade Federal de Pelotas (UFPel); Membro do grupo de pesquisa “O Direito Privado na Contemporaneidade” da UFPel; Atuação em projetos de escrita científica com foco em direito digital, empresarial e contratual; Estágio nos setores Trabalhista e de Procedimentos Especiais na Procuradoria Geral de Pelotas; Estágio em escritório de advocacia nos setores de: Startups, Trabalhista e Tributário; Estágio no Caputo Advogados, asessoria empresarial especializada em startups.
- Referências
BARBIERI, Carlos. Governança de dados: Práticas, Conceitos e Novos Caminhos. Rio de Janeiro: Alta Books, 2019.
BIONI, Bruno. Tratado de Proteção de Dados Pessoais. Rio de Janeiro: Grupo GEN, 2020. E-book.
BRASIL. 1990. Código de Defesa do Consumidor (Lei nº 8.078/1990). Brasília, DF: Senado Federal. Disponível em https://www.planalto.gov.br/ccivil_03/leis/l8078compilado.htm
BRASIL. 2018. Lei Geral de Proteção de Dados (Lei nº 13.709/2018). Brasília, DF: Senador Federal. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
BRASIL. Autoridade Nacional de Proteção de Dados. 2023. Disponível em: https://www.gov.br/anpd/pt-br.
DONDA, Daniel. Guia Prático de Implementação da LGPD. São Paulo: Labrador, 2022.
MAIMONE, Flávio H. C. de Paula. Responsabilidade Civil na LGPD: Efetividade na Proteção de Dados Pessoais. Indaiatuba: Foco, 2022.
PINHEIRO, Patricia Peck. Proteção de dados pessoais: comentários à lei n. 13.709/2018 (LGPD). São Paulo: Saraiva JUR, 2023.
RONCATTO, Carolina da Rosa. Efetividade da tutela dos direitos de personalidade no processo informacional: da privacidade aos desafios da proteção de dados. Revista de Direito Civil Contemporâneo. vol. 36. ano 10. p. 233-252. São Paulo: Ed. RT, jul./set. 2023. Disponível em: https://www.revistadostribunais.com.br.