Macaé/RJ, 14 de agosto de 2023.
* Dr. Fabricius Assumpção
Para que seja formalizado um contrato de prestação de serviços, de aquisição de produto ou de locação de bem móvel ou imóvel com um cliente pessoal natural é necessário que sejam coletados alguns dados pessoais seus, eventualmente dados sensíveis ou ambos, a depender do caso. Normalmente, a efetivação desses contratos ocorre por escrito ou pela simples declaração verbal do cliente, sendo essa declaração aceita quando a lei não exigir forma especial.
A formalização do contrato, quando realizada principalmente em estabelecimento que funcione de maneira legalizada, pode ocorrer na modalidade presencial (ou seja, que exige a presença física direta no local, como numa loja, escritório, consultório, clínica, laboratório etc., ou mesmo através de ligação telefônica ou outro meio equivalente, assim considerado pela lei). Essa contratação também pode ser efetivada na modalidade à distância (ou seja, sem a presença física simultânea das partes envolvidas), e muito comum atualmente por meio eletrônico.
A contratação por meio eletrônico ocorre com a utilização de tecnologias, e através de acesso a sites/páginas, “lojas virtuais” e plataformas de marketplace (“shopping virtual”) na internet, ocasião em que são coletados certos dados do cliente pessoa natural (ou seja, o titular), seja ele adulto, criança ou adolescente, conforme cumpridos os requisitos para validade de tal contratação.
Contudo, esses dados, ao serem coletados e transformados em arquivos tanto no formato físico como o digital, ao serem armazenados em determinado local (seja físico ou digital), além de ficarem acessíveis para quem os coletou, assim devem estar para quem os forneceu. inclusive para solicitar sua eliminação. Eventualmente esses dados podem vir a ser compartilhados com terceiros, e para fins específicos, desde que haja autorização do titular de tais dados, salvo algumas exceções previstas na lei.
É comum atualmente nesses estabelecimentos que a coleta de dados, que em tempos passados se dava basicamente através de suporte físico (a exemplo de documentos diversos originados de preenchimento manual, formulários, fichas etc.) e com presença pessoal do cliente, seja feita hoje em dia de maneira quase que exclusivamente por suporte eletrônico (não necessariamente com a presença pessoal do cliente). E nessa forma mais moderna de coleta de dados é utilizado geralmente um computador, o qual possui um software ou programa específico onde podem ser inseridos tanto os dados obtidos por meio físico e pessoal, como os por meio eletrônico.
E a não presença do cliente no estabelecimento físico para contratação de serviços, de aquisição de produto ou de locação de bem móvel ou imóvel pode ser suprida por sua manifestação através e-mail, ligação telefônica, envio de SMS, mensagem no WhatsApp, Telegram, Messenger do Facebook, Direct do Instagram e em demais aplicativos mensageiros. O mesmo acontece por meio de procedimentos feitos em aplicativos de comércio eletrônico disponíveis para download em lojas digitais compatíveis com o sistema operacional utilizado pelo proprietário do smartphone, tablet etc.
Para que os dados coletados sejam armazenados, é comum que sejam utilizados sistemas em que eles podem ser acessados fisicamente por computadores, a exemplo daqueles conectados a um sistema interno integrado de uma empresa (ou seja, um servidor próprio, por meio da rede corporativa). Também é muito comum que os dados sejam armazenados física e digitalmente, quando se contrata um serviço de “nuvem” (ou seja, um servidor externo), que para armazenamento sincronizado ou mesmo obtenção de cópia de segurança (backup) é necessário conexão com a Internet.
Os dados ainda podem ser armazenados através de um ou mais servidores externos (hospedagem), cujo acesso se dá apenas digitalmente e também por meio de conexão com a internet.
Com a entrada em vigor da Lei nº 13.709, de 14 de agosto de 2018 – a Lei Geral de Proteção de Dados Pessoais (LGPD), e especialmente desde agosto de 2020, ao coletar e praticar outras operações com o objetivo de ofertar ou oferecer bens ou serviços, a empresa, o profissional liberal e o autônomo devem proceder de maneira a proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade dessas pessoas. Devem ser observados também fundamentos como a inviolabilidade da intimidade, da honra e da imagem, a livre iniciativa e a livre concorrência e a defesa do consumidor.
Na primeira hipótese de aplicação da LGPD, a empresa, dados coletados e pessoas naturais devem estar localizados em território brasileiro. A proteção aos direitos e a observância dos fundamentos mencionados é obrigatória, ainda, quando o tratamento de dados pessoais ocorre com aqueles dados provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado com agentes que operam no Brasil ou os que são objeto de transferência internacional com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção adequado ao previsto na mesma lei.
A observância da LGPD cabe a quem desenvolve atividade econômica, seja ela organizada por empresário individual, microempresário individual ou sociedade limitada unipessoal, seja pessoa jurídica e constituída como grande, micro ou pequena empresa de ramos como:
– de comércio em geral (inclusive o eletrônico);
– de serviços de complementação diagnóstica e terapêutica (exames de saúde diversos e laboratoriais);
– de atividades de atendimento hospitalar e de atenção ambulatorial executadas por médicos e odontólogos e outras de atenção à saúde humana executadas por outros profissionais de saúde;
– de atividades de assistência psicossocial e à saúde a portadores de distúrbios psíquicos, deficiência mental e dependentes químicos dentro de centros de assistência psicossocial, e exercidas por psicólogos e psicanalistas;
– de atividades auxiliares dos serviços financeiros, seguros, previdência complementar e planos de saúde;
– de atividades de condicionamento físico (fitness), tais como ginástica, musculação, yoga, pilates, alongamento corporal, etc., realizadas em academias, centros de saúde física e outros locais especializados;
– atividades de fisioterapeutas realizadas em centros e núcleos de reabilitação física;
– de atividades de contabilidade e de auditoria;
– de pesquisas de mercado e de opinião pública;
– de atividades de administração de condomínios, shopping centers e outros imóveis.
– de atividades imobiliárias (com a intermediação na compra, venda de imóveis e terrenos por agentes e corretores imobiliários sob contrato);
– startups.
A observância da LGPD também cabe a quem desenvolve atividade econômica organizada na condição de sociedade simples, profissional liberal ou autônomo, a exemplo de:
– Advogados;
– Agentes e corretores imobiliários;
– Arquitetos;
– Contadores;
– Dentistas;
– Engenheiros;
– Fisioterapeutas;
– Fonoaudiólogos;
– Médicos;
– Prestadores de serviços de assessoria e consultoria diversos;
– Prestadores de serviços de marketing em geral (inclusive digital) e de publicidade;
– Psicólogos e psicanalistas (fora de centros de assistência psicossocial).
Os dados pessoais que identifiquem ou tornem identificáveis os clientes, sejam tais dados obtidos por meio de suporte físico ou por suporte eletrônico, inclusive através de acesso ao site por meio de smartphones ou computadores (desktop, notebooks, tablets etc.), são aqueles como:
– nacionalidade
– estado civil;
– profissão;
– data e local de nascimento;
– RG;
– CPF;
– título de eleitor;
– número de passaporte;
– carteira de habilitação;
– endereço residencial;
– telefone;
– e-mail;
– retrato em fotografia,
– cartão bancário;
– renda;
– histórico de pagamentos;
– hábitos de consumo;
– preferências de lazer;
– endereço de IP (Protocolo da Internet);
– “cookies” de sites;
– localização por GPS etc.
Já dentre os dados pessoais sensíveis coletados de clientes têm-se aqueles que podem trazer alguma discriminação quando do seu tratamento, a saber:
– sobre origem racial ou étnica;
– convicção religiosa;
– opinião política;
– filiação a sindicato ou a organização de caráter religioso, filosófico ou político;
– dado referente à saúde ou à vida sexual;
– dado genético ou biométrico, quando vinculado a uma pessoa natural.
Salvo quando para outras hipóteses previstas na lei, o tratamento de dados pessoais para ocorrer, deve ser consentido pela manifestação livre (ou seja, mediante a opção, expressamente ou não, de aceitação ou recusa e da possibilidade de retirada posterior do consentimento sem haver prejuízo para o cliente), manifestação esta que deve também ser informada (ou seja, que haja conhecimento e capacidade anteriores para a tomada de decisão de forma consciente). A manifestação do cliente ainda deve ser explícita (ou seja, a decisão do cliente deve estar clara), bem como o consentimento, ao ser dado por ele, deve atender a uma finalidade determinada.
Além disso, o tratamento, sem deixar de observar os direitos fundamentais e fundamentos já citados e a boa-fé, deve ser adequado, necessário, de livre acesso ao titular dos dados, feito com qualidade, transparência e segurança. E isso de maneira a promover a prevenção da ocorrência de danos e a não realização para fins discriminatórios ilícitos ou abusivos, e com responsabilização e prestação de contas por parte de quem coleta os dados, sendo todos esses fatores representativos dos princípios relativos as atividades de tratamento de dados pessoais.
Dessa forma, a LGPD e demais normas com ela relacionadas (com os requisitos, diretrizes, condições, regras, obrigações e direitos nelas preceituados) devem ser observadas pelas empresa, profissionais liberais e autônomos, especialmente quando da ocorrência de incidentes de segurança com dados pessoais. Esses incidentes são desde os chamados “vazamentos de dados” aos acessos não autorizados a eles e que possam acarretar risco ou dano relevante aos titulares desses dados.
Não só os clientes são considerados titulares de dados, mas também funcionários, estagiários e aprendizes (e candidatos a essas vagas) relacionados a empresa, ao profissional liberal e ao autônomo, circunstâncias que podem sujeitar os contratantes a aplicação de sanção administrativa por parte da Autoridade Nacional de Proteção de Dados (ANPD).
Sendo comprovado pela Autoridade Nacional de Proteção de Dados (ANPD) que ela ou mesmo o titular dos dados não recebeu comunicação do incidente de segurança por parte da empresa, do profissional liberal ou do autônomo de que não houve adoção de medidas técnicas e administrativas aptas a proteger os dados pessoais, ou as necessárias para reverter ou mitigar os efeitos do prejuízo causado ao titular, a sanção administrativa é aplicável.
No aspecto pecuniário, a sanção aplicável pode variar entre uma multa simples, de até 2% (dois por cento) do faturamento da empresa no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração e multa diária, observado o limite total a que se refere a hipótese anterior. Outras sanções são previstas na LGPD e em outras normas com ela relacionadas, inclusive uma ou outra aplicável cumulativamente com a sanção pecuniária.
Quanto às microempresas, empresas de pequeno porte e startups que realizam tratamento de dados pessoais, nos termos da legislação vigente, a não observância da LGPD por parte de todos os sujeitará a sanções administrativas diferenciadas, desde que NÃO:
– realizem tratamento de alto risco para os titulares, salvo se organizarem-se por meio de entidades de representação da atividade empresarial, por pessoas jurídicas ou por pessoas naturais para fins de negociação, mediação e conciliação de reclamações apresentadas por titulares de dados;
– aufiram receita bruta atualmente superior a R$ 4.800.000,00 (quatro milhões e oitocentos mil reais) ou, no caso de startups, de R$ 1.333.334,00 (um milhão, trezentos e trinta e três mil trezentos e trinta e quatro reais) multiplicado pelo número de meses de atividade no ano-calendário anterior, quando inferior a 12 (doze) meses, independentemente da forma societária adotada;
– pertençam a grupo econômico de fato ou de direito, cuja receita global ultrapasse os limites referidos no item anterior, conforme o caso.
Desse modo, os empresários, os profissionais liberais e os autônomos precisam ser orientados (ou seja, receber consultoria) por especialistas da área do Direito e de Tecnologias de Informação e Comunicação (TICs) para procedimentos tais como a adoção de um Programa de Governança de Privacidade e Proteção de Dados, que objetive identificar e resolver problemas ou melhorar as operações relacionadas ao tratamento de dados, de maneira a reduzir custos em razão de eventuais danos ocorridos. Essas pessoas também precisam receber assessoria técnica em questões sujeitas à via administrativa (que englobam desde solução de conflitos a acesso e respostas junto a órgãos reguladores e fiscalizadores) e quando da ocorrência de demandas judiciais nesse sentido.
Portanto, se você ou sua empresa exerce atividade econômica pertence a algum dos ramos mencionados e ainda não tenha se adequado à Lei Geral de Proteção de Dados Pessoais, oriente-se comigo.
* Dr. Fabricius Assumpção é advogado especialista em Direito Digital e associado ao Luiz Fernando Piersanti Sociedade Individual de Advocacia (Piersanti Advogados).