Proteção de Dados Pessoais sob o viés do controlador: o direito de retenção versus o dever de eliminar dados pessoais.

Simone Bastos Braga de Andrade
Agosto, 2020

A lei de proteção de dados brasileira – Lei nº 13.709/2018 – assim como as demais legislações em proteção de dados já em vigor em diversos países, reconfiguram a titularidade dos dados pessoais reconhecendo a propriedade desses dados aos seus titulares ainda que os tenham informados a outras pessoas.

Confirmar esse conceito, pode-se parecer redundante, mas numa economia “datificada” como a que navegamos nessa Era da Informação, o assunto ganha assento e importância e recorda às empresas que o uso dos dados pessoais contidos em seus bancos – que as viabilizam alçar faturamentos de muitos dígitos – precisam ser limitados a regras que garantam a liberdade, privacidade, livre desenvolvimento da personalidade do indivíduo.

Se por um lado, a LGPD exige que as empresas assegurem a integridade e segurança dos dados pessoais contidos em seus bancos por outro lado a mesma lei brasileira determina que seja promovido o descarte de dados pessoais quando não houver mais lastro legal para a manutenção da operação de tratamento.

Com efeito, tanto a Regulamento Geral de Proteção de Dados europeu (GDPR) quando a LGPD, estabelecem regras para o tratamento de dados pessoais e algumas dessas regras, trazidas com a roupagem jurídica de princípios, exigem que os dados tenham a sua integridade garantida bem como sejam mantidos a salvo de incidentes mais conhecidos como vazamentos, seja, acidental ou decorrente de ação criminosa. Essa vertente que termina por reconhecer um direito ao titular do dado, encontramos na LGPD sob a nomenclatura de princípio da segurança (art. 6º, VII).

De igual forma, essas legislações específicas em proteção de dados também determinam que o tratamento de dados deve ser realizado somente com lastro em uma das bases legais (no total de 10 para a versão brasileira da lei) e pelo prazo necessário ao atingimento da finalidade para o qual foram coletados. Essa normativa está apresentada pelo princípio da finalidade. Atingindo-se a finalidade, inicia-se o dever de eliminar o dado, determinando ao controlador daquela operação de tratamento o manejo de uma desenhada política de descarte.

E não se diga que há contraditoriedade na legislação. Mas, dentro de uma linha temporal, a LGPD determina que o dado seja mantido íntegro e em segurança durante a execução da operação de tratamento e que seja descartado ao final dela, não havendo mais justificativa legal para a manutenção do dado no banco.

Uma vez licitamente coletado para uma finalidade específica, as operações de tratamento que se seguir a partir daí devem estar irremediavelmente enquadradas em uma das hipóteses autorizativas previstas no art. 7º se for o caso de serem dados pessoais comuns, ou no art. 11 para dados pessoais sensíveis e ainda no art. 14 para dados pessoais de crianças e adolescentes, todos da Lei nº 13.709/2018.

Na prática, há a necessidade de, uma vez levantadas as operações de tratamento de dados pessoais, construir a tabela de temporalidade que identificará o momento para que seja promovido o descarte, salvo se a permanência daquele dado no banco do controlador se justificar por outra base prevista na lei, a exemplo do interesse legítimo do controlador (art.7ª, IX), exercício regular de um direito (art. 7º, VI).

Ou seja, o dever de eliminar dados pessoais não é absoluto. Mas pode ser licitamente mitigado em face de algumas hipóteses restritas de retenção dos dados pelo controlador. Contudo, com esse direito de retenção segue-se todo o dever de garantir a integridade e segurança dos dados pessoais.

Trazendo para a concretude, se um titular fornece seus dados de nome, contato de e-mail, CPF e endereço para fazer uma compra de um bem de consumo, com o exaurimento dessa relação (entrega do produto, fim do prazo de garantia do bem, execução dos deveres fiscais acessórios) em tese nasceria ao controlador o dever de eliminar esses dados uma vez que estaria alcançada a finalidade daquela operação de tratamento de dado realizada com lastro na execução de um contrato.

Contudo, ainda após o alcance da finalidade, inclusive o cumprimento de todas as obrigações legais, poderia o controlador permanecer com os dados coletados para oferta à venda de novos produtos? Entendemos que sim lastreando essa nova operação de tratamento no legítimo interesse do controlador (enquadrado no art. 10, I), desde que aquela oferta do novo produto guarda relação com o primeiro negócio realizado com a concordância do titular, como leciona Caio César Carvalho Lima (2019, pg. 195):

Sendo atingidos os requisitos mencionados anteriormente, o controlador poderá fundamentar o tratamento de dados para apoio e promoção de suas atividades. Nesse sentido, podemos citar alguns exemplos, tais como:

1. 1. 1. 1. O controlador que, após, observar as preferências de determinados usuários em seu portal, passar a exibir para eles produtos que mais o agradem, com base no tratamento de dados dos demais usuários daquele site;
         2. O envio de e-mail com descontos específicos para aqueles produtos buscados por determinado titular, ou até mesmo com indicações, tomando por base o histórico de compras do titular; ou
         3. Relembrar determinado consumidor que incluiu produtos em seu “carrinho virtual”, mas não finalizou a compra.

Para tanto, além de garantir a transparência acerca da nova operação de tratamento (art. 10, §2º) e minimizar o uso de dados (art. 10, §1º), deve observar a necessidade de realização do Relatório de Impacto em Proteção de Dados ditado pelo art. 38 para a realização de operações de tratamento com base no interesse legítimo, revelando-se, ainda, uma boa prática de governança em proteção de dados a realização do teste de balanceamento como ponderam Isabella Z. Frajhof e Ana Lara Mangeth (2020, p. 84):

Dessa forma, esse teste “multifatorial” aponta para uma tentativa de dar maior previsibilidade a essa hipótese legal flexível, indicando o necessário balanço a ser feito entre os direitos do titular de dados, por um lado, e os interesses dos agentes de tratamento do outro. Ainda pode-se dizer que no Brasil esse teste de proporcionalidade deverá ser aplicado nos casos de interesse legítimo, sendo exigido dos controladores que comprovem a eficácia das medidas adotadas – princípio da responsabilização e prestação de contas (art. 6º, X) -, além da óbvia aplicação dos demais direitos e garantias dos titulares de dados.

Neste caso, poderá o titular se opor a essa nova operação de tratamento como lhe assegura o art. 18, §2º da LGPD.

Por um outro viés, igualmente respaldaria a retenção dos dados ao final da primeira operação de tratamento o exercício regular de direito. Nesse sentido, terá o controlador o direito de manter os dados em sua base exclusivamente para a hipótese de precisar para eventual defesa em demanda judicial que envolva tal negócio para o qual os dados foram coletados. Essa base legal está prevista no art. 7ª VI da LGPD. E sobre a exclusividade do uso para essa finalidade, destaca Caio Cesar Carvalho Lima (2020, pg. 31):

Assim, nas situações em que se entender que determinados dados pessoais poderão servir como fundamento para o exercício de direitos em demandas em geral, eles poderão ser tratados para essa finalidade enquanto subsistir tal necessidade, desde que para essa única e exclusiva finalidade.

Podem ser utilizados como parâmetro para a retenção da informação os respectivos prazos prescricionais previstos na legislação civil e penal. Havendo discussão judicial, haverá fundamento para armazenamento dos dados durante todo o prazo em que subsistir possibilidade de discussão da demanda, inclusive os dois anos subsequentes em que pode haver a apresentação da Ação Rescisória.

Para essa linha de intelecção, deverá o controlador construir o critério de temporalidade específico que determinará o momento em que os dados em questão obrigatoriamente deverão ser eliminados vinculado ao prazo prescricional de eventual ação, sendo certo que essa nova operação de tratamento deve ser limitada tão somente ao armazenamento.

Alcançando-se esse marco temporal (do prazo prescricional), nasce o dever para o controlador em eliminar aqueles dados coletados encerrando-se, com isso, inclusive, o seu dever se prestar contas ao titular daqueles dados. O término do tratamento impõe o dever de eliminar os dados, conforme prevê o art. 16, restando ao controlador a opção da anonimização para manter uma base de dados que não identifique o seu titular e, portanto, desobrigadas de lastro em uma das 10 bases legais autorizativas.

A LGPD em seu art. 16 trás permissivos para a manutenção da retenção dos dados pessoais pelo controlador mesmo com a ocorrência do término da operação de tratamento ou até mesmo diante do requerimento formulado pelo titular para a eliminação do seu dado.

Contudo, não sendo uma dessas hipóteses e não havendo o descarte após o término do tratamento, incorre o controlador em ilegalidade como advertem Gisela Sampaio da Cruz Guedes e Rose Melo Vencelau Meireles (2019, p. 228):

Salvo nas hipóteses previstas no art. 16 da LGPD, em que o legislador expressamente autoriza a conservação dos dados pessoais após o término de seu tratamento, o controlador deve descarta-lo tão logo ocorra o encerramento do tratamento nos termos do art. 15 da LGPD. Se, após o término do tratamento, o controlador não descartar os dados pessoais, como determina a LGPD, ele poderá vir a ser responsabilizado, presentes os pressupostos da responsabilidade civil.

Invariavelmente, durante todo o ciclo de vida dos dados coletados, assim como no exemplo aqui ventilado, deve o controlador garantir o sigilo, a integridade, a segurança desses dados, inclusive contra a eliminação dos mesmos.

Vê-se, portanto, que a eliminação de dados pessoais representa para o controlador hora um dever de fazer e, portanto, obrigação de eliminar, e em outros momentos quando configurado o seu direito de retenção, um dever de não fazer, devendo adotar medidas técnicas e administrativas para evitar a eliminação desses mesmos dados, tudo dependendo do contexto e do corte de análise desses dados na linha do tempo de seu ciclo de vida.

Bibliografia

Doneda, Danilo; Mendes, Laura Schertel; Cueva, Ricardo Villas Bôas. Lei Geral de Proteção de Dados. A caminho da efetividade: contribuições para a implementação da LGPD. São Paulo: Revistas dos Tribunais, 2020.

Frajhof, Isabella Z. e Mangeth, Ana Lara. As bases legais para o tratamento de dados pessoais. in a LGPD e o novo marco normativo no Brasil. Porto Alegre: Arquipélago, 2020;

Lima, Caio César Carvalho. Do tratamento de dados pessoais. In LGPD – Lei Geral de Proteção de Dados Comentada. São Paulo: Revista dos Tribunais, 2019;

_____________________., Estudo Prático sobre as bases legais na LGPD. In Proteção de Dados, Desafios e Soluções da Adequação à LGPD. Rio de Janeiro: Forense, 2020;

Guedes, Gisela Sampaio da Cruz; Meireles, Rose Melo Vencelau. Término do tratamento de dados in Lei Geral de Proteção de Dados e suas repercussões no Direito Brasileiro. Coord. por Tepedino, Gustavo; Frazão, Ana; Oliva, Milena Donato. São Paulo: Revista dos Tribunais, 2019.

Simone Bastos Braga de Andrade

O post LGPD: Eliminação x Retenção de Dados. Por Simone Bastos Braga de Andrade. apareceu primeiro em Braga de Andrade Advogados.

De igual sorte, a LGPD faz interseção com diversas outras legislações e regulamentos do nosso ordenamento jurídico, exigindo o sombreamento das dessas normas.

Além disso, é um marco legislativo e contribuirá, sem dúvidas, para uma mudança cultural em proteção de dados, exposição da intimidade, liberdade de expressão, educação digital por que não?!

Mesmo muito representando, isso tudo não eleva a LGPD ao CENTRO do nosso ordenamento jurídico. Nem mesmo autoriza que no processo de adequação às novas normas de proteção de dados, conceitos de institutos jurídicos sejam distorcidos.

Um exemplo dessa prática viu-se recente com a publicação pelo Tribunal de Justiça do Distrito Federal, no decorrer do processo de adequação à LGPD, Resolução 9, de 2 de setembro de 2020, nomeando o Presidente daquela corte e sua equipe ao cargo de Controlador de Tratamento de Dados Pessoais, nomeando todos os servidores públicos ali lotados como Operadores de Tratamento de Dados Pessoais:

Art. 5º No Tribunal, o Controlador e os Operadores são respectivamente o Presidente do Tribunal, assessorado pelo Comitê Gestor de Segurança da Informação e Proteção de Dados Pessoais – CGSI, e os servidores e colaboradores que exerçam atividade de tratamento de dados pessoais na instituição ou terceiros, em contratos e instrumentos congêneres firmados com o Tribunal.

• 1º Os Vice-Presidentes e o Corregedor da Justiça serão os Controladores Adjuntos.

Cumprindo a nova lei brasileira de proteção de dados, o TJDF também nomeou o Encarregado de Proteção de Dados Pessoais.

Essa mecânica de nomeações, equivocada, está contagiando outros órgãos públicos. Infelizmente.

De início, cabe esclarecer que é assertiva a nomeação do Encarregado pelo Tratamento de Dados Pessoais, que no desenho legislativo da nossa norma atribuiu a obrigação ao Controlador de indicar um responsável pela comunicação com os titulares, com a Autoridade Nacional de Proteção de Dados (vide art. 47 da LGPD), dentre outras atividades. Para essa função, está permitida a constituição de um setor, equipe (mesmo tendo que apontar um só como principal), ou nomear uma pessoa jurídica contratada especificamente para essa finalidade (DPO as a service).

No mais, entendemos por recheada de atecnia as demais nomeações para Controladores e Operadores servidores públicos lotados naquele Tribunal.

Uma lógica muito simples repousa aí: os conceitos de Controlador e Operador são open legis, ou seja, são ditados pela lei, prescindindo, portanto, de atos de nomeação por quem quer que seja ou por qualquer meio como portaria ou contratos. O enquadramento de uma pessoa em um desses dois papeis de Agente de Tratamento de Dados Pessoais, para a LGPD, é contextual e não definido por auto declaração.

Se estamos diante de uma pessoa jurídica que opera dados pessoais, será ela taxada como controladora se executa qualquer operação de tratamento com base em suas próprias regras e finalidades, ainda que o meio seja executado por outra pessoa. Lógico, se estamos falando de uma pessoa jurídica, como figura de ficção jurídica, a execução institucional se dá por meio de das mãos físicas por ela contratadas.

O seu corpo funcional, portanto, atua por meio de representação, seja por vínculo jurídico trabalhista ou estatutário. E está lá – e, pasmem, continua a ter efeito jurídico – o instituto da representação previsto no Código Civil nos art. 1.169 e seguintes.

E não vamos complicar exigindo que empregados e servidores públicos precisariam de procuração para realizar operações de tratamento de dados pessoais. Algumas atividades e negócios jurídicos exigem sim atos específicos para serem executados em nome da Pessoa Jurídica, alguns por lei, outros por regulamentos, outros por práticas de boa governança corporativa ou gestão da coisa pública. Mas, não por demandarem operações de tratamento de dados. Não com base nesse critério. A definição das atividades de trabalho a serem desempenhadas pelo empregado ou servidor público deverão, como costumeiramente, estar desenhadas no contrato de trabalho, quadro de atividades, edital do concurso, etc. Operações de tratamento de dados serão inerentes a cada uma dessas funções e, portanto, estarão sob a execução dos empregados e servidores públicos dos respectivos Controladores.

Contudo, esse desdobramento não faz com que esses empregados e servidores públicos possam ser considerados Operadores de Tratamento de Dados Pessoais.

De igual forma, o fluxo de dados entre os setores de uma pessoa jurídica ou de um órgão público não representa a transferência de dados entre agentes de tratamento. Os dados permanecem com o mesmo Controlador, no mesmo CNPJ.

Se os dados não são compartilhados com terceiros fora da Pessoa Jurídica, não vislumbramos a presença do Operador de Tratamento de Dados Pessoais.

Com efeito, a relação entre Controlador e Titulares nem sempre será cadenciada por um Operador. Em verdade, há diversas mecânicas que podem ser visualizadas na prática. Vejamos as hipóteses exemplificativas:

• TITULAR DOS DADOS – CONTROLADOR
• TITULAR DOS DADOS – CONTROLADOR – OPERADOR
• TITULAR DOS DADOS – OPERADOR – CONTROLADOR
• TITULAR DOS DADOS – CONTROLADOR – CO CONTROLADOR – OPERADOR
• TITULAR DOS DADOS – OPERADOR – CONTROLADOR – CO CONTROLADOR

Assim, a figura do Operador de Tratamento de Dados Pessoais vai surgir, como pessoa jurídica ou física estranha ao quadro funcional do Controlador com quem manterá relação contratual escrita ou não, por meio da qual será demandado a executar tarefas, dentre as quais evolverão operações de tratamento de dados.

Não podemos, também, deixar de importar (como temos feito com alguns pontos da LGPD) os conceitos muito bem definidos pela EDPB, via Guideline 07/2020, de 02 de setembro, quando delimita, para a GDPR, que o Controlador continua sendo a pessoa jurídica mesmo apontando a função de processar a operação de tratamento de dados a um dos seus empregados:

18. Sometimes, companies and public bodies appoint a specific person responsible forthe implementation of the processing operations. Even if a specific natural person is appointed to ensure compliance with data protection rules, this person will not be the controller but will act on behalf of the legal entity (company or public body) which will be ultimately responsible in case of infringement of the rules in its capacity as controller.

(https://edpb.europa.eu/sites/edpb/files/consultation/edpb_guidelines_202007_controllerprocessor_en.pdf)

E nomear ou considerar um empregado ou servidor público como Operador de Tratamento de Dados com a finalidade de colocá-lo na cadeia de responsabilidade por infringir obrigações da LGPD, como previsto no arts. 42 e 43, é uma justificativa vazia.

Não ter o seu empregado ou servidor público “nomeado” como Operador de Tratamento não exclui a sua eventual responsabilização, sob o ponto de vista de obrigações civis, de eventual dano que possa vir a causar ao seu empregador que poderá se valer o direito de ação de regresso para buscar o eventual reembolso, observados os requisitos necessários do instituto da responsabilidade civil, prevista no art. 927 e seguintes do Código Civil de 2020. Ainda em vigor!

O post A LGPD não é o centro da Via Láctea, Universo. O Sol continua por lá. apareceu primeiro em Braga de Andrade Advogados.