LGPD e decisões automatizadas: onde vamos parar?

Artigo publicado originalmente no Conjur em maio de 2021, por Laura Secfém Rodrigues e Márcio Pompeu.

Uma das questões mais complexas da sociedade tem sido como usar e proteger os dados pessoais, uma vez que é um dos principais ativos das empresas e do desenvolvimento tecnológico, em especial, a Inteligência Artificial.

A Lei Geral de Proteção de Dados (LGPD – Lei nº 13.709/18) chegou com a difícil tarefa de impor uma mudança cultural sobre a importância da privacidade e a necessidade de manter o controle dos dados pessoais.

Em linhas gerais, a LGPD busca garantir transparência no uso dos dados de pessoas físicas em quaisquer meios, digital ou analógico, estabelecendo regras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais, impondo mais proteção e penalidades para o não cumprimento.

A lei em debate traz uma série de direitos que, com exceção do direito à portabilidade, os demais já eram previstos em outras legislações setoriais, como o Código de Defesa do Consumidor (Lei nº 8.078/90), a Lei do Cadastro Positivo (Lei nº 12.414/11) e o Marco Civil da Internet (Lei nº 12.965/14).

No tocante ao direito à revisão das decisões automatizadas, objeto deste texto, cumpre lembrar que este já era previsto no artigo 5º, inciso VI, da Lei do Cadastro Positivo. Agora, de forma mais abrangente, a LGPD dispõe, no artigo 20, sobre a possibilidade de o titular do dado ter a revisão das decisões tomadas de forma automatizada.

Esse direito é necessário, na medida em que o uso da Inteligência Artificial também está sujeito a erros, por deficiência tecnológica ou até pelo uso de uma base de dados limitada ou incompleta.

Embora — ainda — não seja de conhecimento comum, convém esclarecer que um algoritmo é composto por uma sequência de raciocínios e instruções executáveis, as quais são configuradas previamente para alcançar a uma finalidade.

Explicando de modo simples, um algoritmo pode ser comparado a uma “receita culinária” para executar alguma tarefa, que é composta por dados e informações pré-definidas. A título ilustrativo, por exemplo, um programa de computador é composto por uma sequência de algoritmos.

Ocorre que, com o avanço das tecnologias, os algoritmos estão cada vez mais presentes e sofisticados, influenciando nas decisões e na vida de pessoas, de modo que eventual erro pode trazer danos irreparáveis.

Parte da população pode até acreditar que os algoritmos decidam sempre de forma justa e correta, mas esta premissa nem sempre é verdade, senão vejamos.

Um caso que ficou muito conhecido foi o do software denominado COMPAS, dos Estados Unidos, que possui o escopo de avaliar os riscos sobre pessoas que voltam a praticar crimes e auxiliar os juízes na tomada de decisões. Por meio de um questionário com 137 perguntas[1], é analisado o score do réu e o risco de reincidência. Contudo, análises feitas pela ProPublica[2] identificaram que o algoritmo aponta que negros possuem alto risco de reincidência, o que demonstra o viés discriminatório do software[3].

Outro caso discriminatório é do dispensador automático de sabonete que não detecta a mão de um homem de pele negra. Para demonstrar que a cor da pele é o motivo, durante um vídeo, foi balançada uma toalha de papel branco sob o distribuidor, que imediatamente liberou o sabonete[4].

No Brasil, o Departamento de Proteção e Defesa do Consumidor (DPDC) multou a empresa decolar.com por prática de geographical pricing e geographical blocking, por discriminar consumidores por conta da etnia e localização geográfica, o que configura prática abusiva, além de verdadeiro desequilíbrio no mercado e nas relações de consumo[5].

Nesse contexto, já existem diversos casos comprovando que as decisões algorítmicas podem ser equivocadas e, consequentemente, gerar danos e preconceitos aos indivíduos.

Com efeito, a LGPD, conforme citado anteriormente, prevê que o titular de dados tem o direito de solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade.

A previsão legal da possibilidade de revisão das decisões automatizadas foi uma opção muito acertada do legislador, visto que, cada vez mais, será frequente o uso de tecnologias envolvendo Inteligência Artificial na sociedade.

No entanto, um dos aspectos preocupantes é se os controladores estão preparados para atender essa espécie de solicitação, tendo em vista a complexidade existente em torno das decisões.

A LGPD, inclusive, aduz que o controlador deverá fornecer, sempre que solicitadas, informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada.

Dessa forma, quando houver alguma solicitação, entende-se que o titular de dados:

não deseja receber códigos-fonte, mas entender os critérios que foram utilizados, pois, para ele, como leigo, é irrelevante o número de linhas de programação utilizadas […]. Para o titular dos dados, é fundamental receber informações consistentes e compreensíveis para que ele, querendo, possa contestar a decisão automatizada[6].

Além disso, a nossa legislação não traz o conceito do que seria uma decisão totalmente automatizada.

Vale mencionar outro aspecto importante, que é como realizar a revisão da decisão. Ao contrário do que prevê o art. 22 (2) do Regulamento Europeu (GDPR), a LGPD não impõe, expressamente, a necessidade de que a revisão seja feita por meio de intervenção humana. Contudo, a revisão por meio da intervenção humana é essencial, senão vejamos.

Sobre a temática da revisão de decisões automatizadas, Erik Fontenele Nybo[7] afirma que é

necessário criar métodos e processos de revisão por humanos da tomada de decisões dos algoritmos para evitar erros que podem ser replicados ao longo do tempo ou, até mesmo, atingir uma escala maior. O ponto é que os dados utilizados para ensinar algoritmos representam sempre uma situação do passado. Por isso, é necessário identificar a qualidade dos dados que vão ensinar um algoritmo a tomar decisões.

Erik[8] ainda complementa que é necessário “que existam humanos que possam rever as decisões tomadas pelos algoritmos, transparência dos modelos de treinamento adotados para determinado sistema, auditoria dos dados e do código para garantir que haja responsabilidade e qualidade no uso dessas ferramentas”.

Inclusive, em 2019, o High-Level Expert Group on AI apresentou o Guia de Melhores Práticas “Ethics Guidelines for Trustworthy Artificial Intelligence”.

Um dos pilares definidos é que “a inteligência artificial tem de poder ser supervisionada por humanos, tem de ser segura, transparente e não pode discriminar”[9].

Como é cediço, cada vez mais será frequente a utilização de decisões automatizadas. Consequentemente, haverá um grande desafio, tanto para os controladores, como para o Poder Judiciário, para analisar e solucionar conflitos, visto que quem sofre um dano em razão desse tipo de decisão tem o direito de entender o porquê.

Portanto, considerando o princípio da transparência e o da não discriminação, ambos previstos no art. 6º da LGPD, a revisão das decisões automatizadas torna-se necessária diante do risco de discriminação, a fim de evitar violação de direitos fundamentais dos indivíduos, principalmente de minorias.

Entretanto, a forma como será realizada a decisão, em especial diante da ausência de obrigação legal que seja feita por um humano, gera novos desafios e preocupações.

Embora o Brasil ainda esteja engatinhando nos temas de privacidade e proteção de dados, é fácil notar que os algoritmos podem causar danos às pessoas, de modo que, também, nos resta aguardar se haverá regulamentação do tema por parte da Autoridade Nacional de Proteção de Dados (ANPD), além de acompanhar como o Poder Judiciário irá enfrentar estas questões.


[1] Disponível em: <https://www.documentcloud.org/documents/2702103-Sample-Risk-Assessment-COMPAS-CORE.html>. Acesso em: 20 abr. 2021.

[2] A ProPublica é uma redação jornalística independente, sem fins lucrativos, que produz jornalismo investigativo de interesse público.

[3] Disponível em: <https://www.propublica.org/article/machine-bias-risk-assessments-in-criminal-sentencing>. Acesso em: 20 abr. 2021.

[4] Disponível em: <https://www.dailymail.co.uk/sciencetech/article-4800234/Is-soap-dispenser-RACIST.html>. Acesso em: 20 abr. 2021.

[5] Disponível em: <https://www.justica.gov.br/news/collective-nitf-content-51>. Acesso em: 21 abr. 2021.

[6] BECKER, D. RODRIGUES, R. de B. Capítulo III. Direitos do titular. In: Comentários à Lei Geral de Proteção de Dados. São Paulo: Thomson Reuters Brasil, 2020. E-book.

[7]  NYBO, E. F. O Poder dos Algoritmos. São Paulo: Enlaw, 2019, p. 134.

[8] Op. cit. p. 136.

[9] Disponível em: <https://digital-strategy.ec.europa.eu/en/library/ethics-guidelines-trustworthy-ai>. Acesso em: 20 abr. 2021

LGPD: Contratos entre agentes de tratamento

Artigo publicado originalmente no Conjur em 13/02/2021.

A Lei Geral de Proteção de Dados (LGPD) chegou com a difícil tarefa de impor uma mudança cultural sobre a importância da privacidade e a necessidade de manter o controle sobre os próprios dados.

Um dos principais objetivos da LGPD é garantir transparência no uso dos dados das pessoas físicas em quaisquer meios, digital ou analógico, estabelecendo regras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais, trazendo mais proteção e impondo mais penalidades para o não cumprimento.

É notável que a lei impacta diretamente as relações contratuais estabelecidas em diversos setores comerciais, como, por exemplo, o de vendas, tecnologia da informação, marketing, recursos humanos, inovação, franquias, negócios imobiliários e, também, as próprias relações de trabalho.

Nesse contexto, os contratos surgem como instrumentos de alocação de riscos da atividade desenvolvida pelos agentes de tratamento previstos na LGPD. Isso porque o futuro de relações contratuais traz interrogações que podem ser diminuídas se forem observadas as regras previamente determinadas.

Essas circunstâncias ganham relevância na medida em que nem todas as controvérsias são levadas ao Poder Judiciário ou à arbitragem, tendo em vista que a estrada na busca de uma decisão judicial ou arbitral costuma ser longa e custosa.

No tocante à LGPD, o tema do momento, percebe-se a necessidade da celebração de acordos de processamento de dados entre os agentes de tratamento, ou seja, entre os eventuais controladores, co-controladores e operadores.

De uma forma resumida, a elaboração desses contratos, com base na LGPD, possui duas finalidades essenciais: (i) a atribuição de responsabilidades; e (ii) a demonstração de boas práticas.

Nesse cenário, torna-se imprescindível não apenas a inserção de novas cláusulas em contratos que serão ou já foram firmados, mas também a revisão das relações contratuais até então estabelecidas.

Para maior segurança, os agentes de tratamento devem — ou deveriam — negociar apenas com outros agentesque possam assegurar a implementação de medidas técnicas e organizacionais adequadas, garantindo que o tratamento cumpra os requisitos da LGPD.

Assim, a redação desses acordos deve ser realizada conforme a complexidade da relação contratual que será estabelecida, podendo ser feita com o auxílio de uma “régua de risco”, a qual tem como finalidade orientar a negociação de cada uma das cláusulas contratuais.

Aqui, é bom lembrar que as relações contratuais idealizam comportamentos das partes para o futuro, na tentativa de prever todos os eventos que podem acontecer. 

Na realidade, sabemos que não existem contratos completos, que consigam abordar toda e qualquer eventualidade futura, mas é importante resguardar, ao máximo, os interesses das partes, garantindo segurança à relação contratual.

Sobre esse tema, e sem aprofundar no que se entende por incompletude contratual, convém citar o que ensina Forgioni[1] (2020, p. 60-61), no sentido de que:

acostumamo-nos a pensar os negócios como se tudo ou quase tudo pudesse ser previsto no momento de sua assinatura. Nesse contexto ideal, aquilo que faltaria seria completado pela lei e, no máximo, pelos usos e costumes comerciais. Sabemos que essa situação é utópica. Contratos são, por natureza, incompletos e maior sua complexidade, mais as lacunas far-se-ão sentir. Existe uma ‘necessária incompletude em qualquer relação de cooperação entre dois ou mais sujeitos’.

Portanto, os agentes devem proteger os seus interesses na medida do possível e dentro do que se entende como economicamente viável para aquele momento.

Quanto à obrigatoriedade da celebração de contratos, embora não seja exigido expressamente pela LGPD, digamos que é fortemente recomendável, como forma de atribuir responsabilidades e determinar boas práticas.

Nesse contexto, Alves, Guidi e Lila[2] (2020, p. 116-117) afirmam, precisamente, que:

ao contrário do GDPR, a LGPD é silente em relação à obrigatoriedade de formalização das relações jurídicas entre agentes de tratamento por meio de contrato. Há apenas menção a contrato em duas ocasiões, quais sejam: (i) ao abordar os requisitos para a viabilização de transferência de dados de entes públicos para entes privados; e (ii) ao referir-se a cláusulas contratuais específicas e cláusulas-padrão contratuais, dentre as garantias a serem dadas pelo controlador nas transferências internacionais para países não considerados ‘adequados’ pela ANPD, tema ainda sujeito a futura regulamentação”.

No que diz respeito à privacidade e proteção de dados pessoais, os acordos de vontades devem prever cláusulas simples ou específicas, a depender da complexidade da relação jurídica que será estabelecida.  

Em primeiro lugar, no mínimo, os acordos devem prever: (i) as definições; (ii) o objeto; (iii) a duração do tratamento dos dados; (iv) a natureza e a finalidade do respectivo tratamento; (v) os tipos e categorias dos dados pessoais utilizados; e (vi) as obrigações, responsabilidades e direitos dos agentes de tratamento.

Neste ponto, é interessante destacar que o operador deve tratar os dados pessoais de acordo com as instruções determinadas pelo controlador, a não ser que seja exigido de outra forma pela legislação nacional ou por norma regulatória da Autoridade Nacional de Proteção de Dados (ANPD).

Prosseguindo, a depender da particularidade da relação entre os agentes de tratamento, é importante definir a propriedade da base dos dados e as respectivas bases legais utilizadas para o tratamento.

Ademais, é necessário determinar um “ciclo de vida” para o manejo dos dados, contendo regras sobre retenção e exclusão, além da possibilidade de eventual compartilhamento com autoridade judicial ou regulatória.

O instrumento contratual pode vir a regular um dos pontos centrais da lei, ou seja, como serão exercidos os direitos dos titulares dos dados. Também são essenciais as estipulações sobre confidencialidade e sigilo, as quais podem perdurar mesmo após o final do contrato.

Nesse aspecto, o acordo deve possuir termos que garantam a proteção contínua dos dados pessoais, ainda que depois do término da relação estabelecida, cabendo ao controlador decidir o que deve acontecer com os dados pessoais utilizados, uma vez que o tratamento esteja, de fato, concluído.

Aliás, é bom dar destaque ao detalhe de que a estipulação mencionada acima deve abranger os colaboradores dos agentes de tratamento, incluindo quaisquer trabalhadores temporários que tenham acesso aos dados pessoais.

Com relação à eventual transferência internacional dos dados, o instrumento contratual pode prever a possibilidade de revisão posterior, após regulamentação desse tema pela Autoridade Nacional de Proteção de Dados, prevista para o ano de 2022[3].

Acerca dos riscos, é recomendável que o acordo contenha a definição do que se entende por incidente de segurança. Além disso, é importante estabelecer o dever de assistência entre os agentes, contendo a forma e o prazo em que serão feitas as notificações ou comunicações internas sobre eventuais comprometimentos à base de dados.

Ao ajustar as regras sobre a ocorrência de incidentes, o contrato pode prever as medidas técnicas e organizacionais adequadas para garantir a segurança de quaisquer dados pessoais que estejam tratando.

Adicionalmente, e se necessário, também é possível acrescentar a possibilidade e/ou necessidade da contratação de um seguro cibernético e da realização de auditorias.

Por último, o instrumento contratual deve estipular regras sobre responsabilidades, indenizações, rescisão do contrato em caso de violação e a possibilidade do exercício de eventual direito de regresso.

Diante de tudo o que foi exposto acima, e do longo caminho que a Lei Geral de Proteção de Dados ainda possui pela frente, percebe-se que um instrumento contratual, cuja finalidade seja conduzir uma relação jurídica estabelecida entre agentes de tratamento, deve ser elaborado por profissional munido de conhecimentos técnicos e clareza sobre a conexão que será pactuada, uma vez que esse profissional será capaz de trazer segurança à atividade desenvolvida.


[1] FORGIONI, P. A. Contratos Empresariais: teoria e aplicação. 5ª edição, revista, atualizada e ampliada. São Paulo: Thomson Reuters Brasil, 2020.

[2] ALVES, C. S.; GUIDI, G. B. de Campos; LILA, P. E. de Campos. Contratos e cláusulas em proteção de dados. In: BLUM, Renato Opice (Org.). Proteção de dados: desafios e soluções na adequação à lei. Rio de Janeiro: Forense, 2020.

[3] Prazo estimado com base na Portaria nº 11/2021, publicada no Diário Oficial da União em 28/01/2021, que torna pública a agenda regulatória da ANPD.

Quais são os direitos previstos na LGPD?

A Lei Geral de Proteção de Dados (LGPD) confere uma série de direitos aos titulares dos dados. No entanto, a maioria deles não são considerados direitos novos, mas garantias que já eram previstas em legislações setoriais, como o Código de Defesa do Consumidor e o Marco Civil da Internet.

Agora, previstos especificamente na LGPD, podemos destacar os direitos de acesso, retificação, oposição e cancelamento, portabilidade, explicação e revisão de decisões automatizadas.

No entanto, a única grande novidade da citada lei, é o direito à portabilidade dos dados pessoais.

Sobre adequar uma empresa à LGPD, é bom lembrar que essa tarefa é muito maior do que revisar um website. Um projeto de adequação completo envolve palestras de conscientização, treinamentos, elaboração e revisão de contratos, entre outras medidas de governança que forem necessárias, de acordo com a particularidade de cada organização.

Nesse passo, uma das medidas necessárias durante a implementação de um programa de governança é garantir um procedimento para que os titulares possam exercer os seus direitos.

Resumidamente, o titular poderá exercer os seus direitos mediante requisição ao controlador, à Autoridade Nacional de Proteção de Dados, aos órgãos de defesa do consumidor e, também, em juízo, individual ou coletivamente.

Vamos conhecer quais são esses direitos?

Direito de acesso aos dados pessoais (artigo 18, II, da LGPD)

O direito de acesso está previsto nos artigos 9 e 17 a 19 da Lei Geral de Proteção de Dados. Confira os dispositivos citados:

Art. 9º O titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca de, entre outras características previstas em regulamentação para o atendimento do princípio do livre acesso […]

Art. 17. Toda pessoa natural tem assegurada a titularidade de seus dados pessoais e garantidos os direitos fundamentais de liberdade, de intimidade e de privacidade, nos termos desta Lei.

Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição: […] II – acesso aos dados;

Em síntese, esse direito garante que o titular dos dados pessoais deve ter acesso aos dados que uma entidade pública ou privada tenha sobre ele, informando-o sobre o tratamento.

Esse direito poderá ser exercido por meio de duas formas: a) simplificada; ou b) completa.

A versão simplificada, a ser fornecida imediatamente, deve abranger tão somente a existência e os tipos de dados tratados. Por outro lado, a versão completa, a ser fornecida no prazo de até 15 dias, deve abranger a origem, critérios e finalidades, ressalvado, obviamente, o segredo de negócio.

Nesse passo, sempre que a organização entender que a revelação desses dados importará a revelação de um segredo de negócio, poderá, de forma fundamentada, recusar total ou parcialmente o pedido.

Por último, é bom ressaltar que, futuramente, a Autoridade Nacional de Proteção de Dados também poderá dispor sobre esses formatos e prazos.

Direito de retificação dos dados (artigo 18, III, da LGPD)

O direito de retificação tem como finalidade garantir que o titular do dado possa retificar ou corrigir dados que estejam incompletos, inexatos ou desatualizados.

Embora pareça ser um direito novo, na verdade, este direito já era previsto no art. 43, § 3º, do Código de Defesa do Consumidor e, também, no art. 5º, inciso III, da Lei do Cadastro Positivo. Vejamos:

Lei do Cadastro Positivo

Art. 5º São direitos do cadastrado: […] III – solicitar a impugnação de qualquer informação sobre ele erroneamente anotada em banco de dados e ter, em até 10 (dez) dias, sua correção ou seu cancelamento em todos os bancos de dados que compartilharam a informação;

Código de Defesa do Consumidor

Art. 43. O consumidor, sem prejuízo do disposto no art. 86, terá acesso às informações existentes em cadastros, fichas, registros e dados pessoais e de consumo arquivados sobre ele, bem como sobre as suas respectivas fontes. […] § 3º O consumidor, sempre que encontrar inexatidão nos seus dados e cadastros, poderá exigir sua imediata correção, devendo o arquivista, no prazo de cinco dias úteis, comunicar a alteração aos eventuais destinatários das informações incorretas.

Lei Geral de Proteção de Dados

Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição: III – correção de dados incompletos, inexatos ou desatualizados;

Com relação ao direito de retificação dos dados pessoais, a LGPD não define prazo para a realização, mas o não atendimento o imediato deve ser justificado.

Além disso, caberá ao controlador comunicar com quem ele compartilhou esses dados pessoais para que procedam a retificação.

Por último, é bom lembrar que os dados anonimizados não precisam de retificação.

Dúvida comum: o que deve ser corrigido?

Sempre surge a dúvida no que diz respeito ao que deve ser corrigido, se deve ser apenas um erro de grafia, uma data apostilada por engano ou um cadastro desatualizado.

O Regulamento Europeu (GDPR) permite tanto a retificação de natureza objetiva quanto a subjetiva. Vamos explicar:

De natureza objetiva, citadas acima, são aquelas em que ocorreram um erro de ordem material.

Ex.: Um endereço desatualizado.

Por outro lado, a natureza subjetiva diz respeito à informação sobre algum fato que pode ter impacto na vida do titular.

Ex.: “FULANO” foi condenado em primeira instância pela prática de um crime, sendo que tal circunstância noticiada em um jornal. Caso ele seja absolvido em segunda instância, terá direito a retificar a informação publicada?

Ex.2: Um colaborador recebeu uma avaliação de desempenho negativa, que o afastou de receber um bônus semestral ou anual. Essa avaliação possui informações sobre o colaborador, permitindo individualizá-lo. Esse relatório, portanto, será considerado um dado pessoal. De posse dessa informação, o colaborador nota que foi avaliado de forma negativa, pois faltou em determinado dia de trabalho. Contudo, neste dia, ele estava com problemas pessoais (doença laboral). Consequentemente, ele gostaria de incluir essa informação neste relatório para que, quando fosse avaliado novamente, isso fosse levado em consideração. 

Portanto, com base no Regulamento Europeu (GDPR), todas as correções acima são possíveis. A LGPD, por sua vez, é omissa, mas a doutrina entende que a LGPD abrange as duas situações, ou seja, as retificações de natureza objetiva ou subjetiva. Para dar segurança jurídica, esperamos que a ANPD regulamente e solucione está controvérsia.

Direito de cancelamento (artigo 18, IV e VI, da LGPD)

O direito de cancelamento visa garantir que o titular tenha o direito a eliminar os dados que foram fornecidos mediante o uso de consentimento. Nesse passo, obviamente, somente poderá ser exercido quando a base legal for o consentimento.

Para facilitar, caso seja requisitado o cancelamento desses dados, uma das soluções possíveis é a anonimização desses dados ou o bloqueio/eliminação dos dados.

Além de estar previsto na LGPD, o direito em exame também está previsto no artigo 17 do GDPR, artigo 43, § 5º do CDC e artigo 5º, I, da Lei do Cadastro Positivo. Vejamos:

Código de Defesa do Consumidor

Art. 43. O consumidor, sem prejuízo do disposto no art. 86, terá acesso às informações existentes em cadastros, fichas, registros e dados pessoais e de consumo arquivados sobre ele, bem como sobre as suas respectivas fontes. […] § 5º Consumada a prescrição relativa à cobrança de débitos do consumidor, não serão fornecidas, pelos respectivos Sistemas de Proteção ao Crédito, quaisquer informações que possam impedir ou dificultar novo acesso ao crédito junto aos fornecedores.

Lei do Cadastro Positivo

Art. 5º São direitos do cadastrado: I – obter o cancelamento ou a reabertura do cadastro, quando solicitado;

Lei Geral de Proteção de Dados

Art. 18. […] IV – anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei; VI – eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei;

O exercício desse direito não possui prazo definido, mas o não atendimento imediato deverá ser justificado pela organização.

Por outro lado, é bom lembrar que podem existir limitações de ordem técnica, até porque o controlador deverá comunicar a todos agentes com os quais esses dados foram compartilhados, conforme preceituam os artigos 16 e 18, § 6º, da LGPD.

Além disso, também existem casos em que o cancelamento desses dados poderá levar ao cancelamento de dados de terceiros.

Portanto, durante o exercício desse direito, é essencial que a organização considere os limites técnicos, a teor do artigo 18, § 6º, da LGPD.

Exemplo: Um colaborador que foi desligado da empresa exerce esse direito e depois entra com reclamação trabalhista. Nessa situação, a empresa poderia argumentar que ela tem um interesse legítimo na manutenção desses dados pessoais para o exercício dos seus direitos.

2º Exemplo: Um consumidor compra um produto e depois pede para excluir os dados. A empresa pode guardar os dados durante o prazo prescricional previsto no Código de Defesa do Consumidor, pelos mesmos motivos acima. Entretanto, nessa situação, os dados armazenados devem ser guardados tão somente para o exercício de direitos, e não para outras finalidades.

Direito de oposição (artigo 18, § 2º, da LGPD)

O direito de oposição, que já era previsto na Lei do Cadastro Positivo, poderá ser exercido quando o tratamento de dados pessoais for feito em hipóteses de dispensa do consentimento.

Confira o que diz a LGPD:

Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição: § 2º O titular pode opor-se a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto nesta Lei.

Nesse cenário, quando o tratamento for feito com base no legítimo interesse ou outra base legal, o titular tem direito de se opor ao tratamento.

Via de regra, esse direito deverá ser exercido imediatamente ou em prazo razoável, desde que seja feito de forma justificada.

Sempre que o tratamento de dados pessoais seja necessário para o exercício de uma finalidade, e esse ato esteja ligado a uma outra funcionalidade, se houver uma consequência negativa, ao titular dos dados, você terá que informá-lo. Essa regra tem como consequência tentar mitigar a opção de você conceder todos os dados ou não poderá usar ele.

Hoje, verifica-se que alguns aplicativos já perguntam, separadamente: posso ter acesso à câmera? Posso ter acesso à geolocalização? Posso ter acesso ao álbum?

Direito à Explicação

O direito à explicação – right of explanation – decorre do princípio da transparência e do direito à informação. Nesse passo, aos titulares dos dados pessoais devem ser fornecidas informações claras, precisas e facilmente acessíveis sobre a realização do tratamento.

Neste caso, evidentemente, a organização não só pode, como deve resguardar o segredo de negócio, o código-fonte, software etc.

Quer um exemplo prático? Veja aqui como o Facebook já está garantindo este direito.

Direito à Revisão de Decisões Automatizadas (art. 20 da LGPD)

A LGPD traz a possibilidade de o titular do dado ter a revisão de decisões feitas de forma automatizada. Trata-se da possibilidade da revisão humana de uma decisão automatizada, que foi feita por meio da aplicação de uma sequência de algoritmos.

Aqui, destacamos que a Lei do Cadastro Positivo também prevê esse direito no artigo 5º, VI. Na LGPD, o direito é mais abrangente do que no GDPR. Isso porque o GDPR, no artigo 22, limita a revisão aos casos de “profiling, which produces legal effects”.

Lei do Cadastro Positivo

Art. 5º São direitos do cadastrado: VI – solicitar ao consulente a revisão de decisão realizada exclusivamente por meios automatizados; e

Lei Geral de Proteção de Dados

Art. 20. O titular dos dados tem direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade. 

Esse direito é necessário, pois o uso de Inteligência Artificial também está sujeito a erros, talvez por deficiência tecnológica, ou até por um acesso limitado a dados, que levam a supostas verdades que, na realidade, mostram-se erradas, de modo que a revisão de decisões automatizadas se revela essencial.

Sobre o tema, no livro em que aborda o “Poder dos Algoritmos”, Erik Nybo[1] ensina que é necessário “que existam humanos que possam rever as decisões tomadas pelos algoritmos, transparência dos modelos de treinamento adotados para determinado sistema, auditoria dos dados e do código para garantir que haja responsabilidade e qualidade no uso dessas ferramentas”.

No entanto, é bom lembrarmos que a lei não traz o conceito do que seria considerada uma decisão totalmente automatizada. Por isso, vamos exemplificar alguns casos de decisões automatizadas: cálculo do credit score, cálculo de juros, etc.

Direito à Portabilidade (art. 18, V, da LGPD)

O direito à portabilidade não se confunde com o direito de acesso.

O direito em exame garante ao titular a possibilidade de pleitear a portabilidade dos seus dados, como e-mails, listas de amigos, publicações, fotografias, avaliações de usuários, para outra plataforma, rede social ou aplicativo, ainda que pertencente à um concorrente. Veja o que diz a LGPD:

Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição: […] V – portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;

Aliás, o direito à portabilidade permite maior autonomia ao titular dos dados, diminuindo os custos da troca de fornecedor de produto ou serviço.

Isso faz com que as empresas melhorem o atendimento de modo a não perder o usuário. Nesse cenário, algumas empresas estão trabalhando em conjunto para definir os padrões técnicos, circunstância que ainda está pendente de regulamentação pela ANPD.

Na Europa, nos termos do GDPR, os dados de inferência e metadados também foram considerados dados pessoais de modo que se permite a portabilidade.

Exemplo: Um motorista de Uber poder portar as suas avaliações, viagens, para um aplicativo concorrente.

Exemplo nº 2: Um corredor pode retirar os seus dados de corrida, como quilometragem, frequência cardíaca, e levá-los a um aplicativo concorrente.

Conclusão

É fácil notar que a LGPD trouxe inúmeros já existentes na nossa legislação, trazendo, como novidade, o direito à portabilidade, ainda pendente de regulamentação pela Autoridade Nacional de Proteção de Dados. Em um projeto de adequação, nem sempre é fácil criar processos que garantam esses direitos, pois, alguns deles, dependem de soluções técnicas específicas – e até onerosas – ou de regulamentação pela ANPD.

Portanto, um projeto de adequação deve ser elaborado por profissional munido de conhecimentos técnicos e clareza sobre a organização, uma vez que esse profissional será capaz de trazer segurança à atividade desenvolvida.

Se quiser saber mais sobre como garantir os direitos dos titulares, você pode entrar contato conosco!


[1] NYBO, Erik Fontenelle. O Poder dos Algoritmos. São Paulo: Editora Enlaw, 2019, p. 136.

LGPD: Adequação para a área da saúde

A Lei Geral de Proteção de Dados chegou com a complicada missão de impor uma mudança cultural sobre a importância da privacidade e a necessidade de manter o controle sobre os próprios dados.

Um dos principais objetivos da LGPD, sigla adotada para designar a lei, é garantir transparência no uso dos dados das pessoas físicas em quaisquer meios, digital ou analógico, estabelecendo regras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais, impondo mais proteção e penalidades para o não cumprimento.

Por isso, é fácil perceber que a norma afeta diversos setores, como o de vendas, tecnologia da informação, marketing, recursos humanos e até mesmo o jurídico.

A área de saúde, por sua vez, também não ficou de fora, demandando adequação.

A cada dia que passa, o setor da saúde passa a receber mais orientações com base em dados extraídos de sistemas, armazenamentos de exames em nuvem, softwares, aplicativos e até relógios de pulso.

Aliás, agora, também temos as consultas via telemedicina.

Nesse passo, é fácil ver que uma clínica médica costuma armazenar dados de pacientes, médicos e colaboradores. A título de exemplo, podemos citar: fichas de cadastro, prontuários médicos, receitas, exames, imagens e etc.

Mas, afinal, o que são dados pessoais?

A LGPD adota um conceito amplo, expansivo, sobre o que é considerado um dado pessoal. Veja:

Dado pessoal: é a informação relacionada a pessoa natural identificada ou identificável.

Nesse sentido, se uma informação permite identificar, direta ou indiretamente, um indivíduo que esteja vivo, então ela é considerada um dado pessoal. Veja os seguintes exemplos: nome, RG, CPF, data e local de nascimento, endereço residencial, localização de GPS, retrato de fotografia, hábitos de consumo, cookies, IP, placa de veículo automóvel.

Por outro lado, a lei cria a categoria do que chamamos de “dados pessoais sensíveis”, estes são tratados com maior frequência pelo setor da saúde. Confira:

Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

Os dados pessoais sensíveis exigem proteção especial, pois colocam em risco a privacidade de dados que podem tornar a pessoa vítima de discriminação ou tratamento de diferenciado. Ex.: portadores de doenças graves, infecciosas, patologias psiquiátricas ou até mesmo cirurgias plásticas feitas com a finalidade de promover o bem estar.

Aliás, o próprio Código de Ética Médica já protege a privacidade dos pacientes, valendo-se do sigilo profissional. O citado código prevê que o médico guardará sigilo a respeito das informações de que detenha conhecimento no desempenho de suas funções, com exceção dos casos previstos em lei.

O mesmo código também prevê, no artigo 73, que é vedado ao médico revelar fato de que tenha conhecimento em virtude do exercício de sua profissão, salvo por motivo justo, dever legal ou consentimento, por escrito, do paciente.

Ocorre que, mesmo diante do que está previsto no Código de Ética, é necessário estar adequado à Lei Geral de Proteção de Dados.

Para casos de violação, a lei prevê penas de advertência, multa simples, multa diária, suspensão, eliminação dos dados pessoais a que se refere a infração, bloqueio dos dados pessoais a que se refere a infração até a sua regularização, entre outras sanções, aplicáveis a partir de agosto de 2021.

Como ficar em conformidade com a LGPD?

Adequar à LGPD é mais do que revisar um website. Um projeto de adequação completo envolve palestras de conscientização, treinamentos, elaboração e revisão de contratos, entre outras medidas de governança que forem necessárias, de acordo com a particularidade de cada organização.

Aliás, um projeto de conformidade com a LGPD é dinâmico e precisa de revisão periódica, mediante acompanhamento legal e regulatório. Isso porque a lei aguarda definições, que deverão ser realizadas urgentemente pela Autoridade Nacional de Proteção de Dados.

Em síntese, de acordo com a LGPD, para coletar, processar, armazenar um dado pessoal, o controlador deverá:

(1) observar os princípios trazidos pela LGPD;

(2) ter uma base legal que justifique o processamento de dados pessoais e/ ou sensíveis de seus empregados; e

(3) cumprir com os direitos dos titulares de dados; dentre outras obrigações.

No tocante ao primeiro item, a lei exige que as atividades de tratamento de dados pessoais deverão observar a boa-fé e os princípios da finalidade, adequação, necessidade, qualidade dos dados, transparência, segurança e prevenção.

Vamos explicar resumidamente: O tratamento de dados pessoais deve ser feito com propósitos legítimos e específicos, sendo mantidos atualizados de forma fiel e exata. Além disso, os dados devem ser coletados e armazenados com segurança, limitando a coleta ao mínimo necessário para a realização das suas finalidades. Também é importante pensar em uma forma e prazo em que os dados serão descartados.  

No tocante ao segundo item, as bases legais são as hipóteses que permitem o tratamento desses dados a depender da categoria do dado e a finalidade do tratamento.

As bases legais são distintas a depender da categoria do dado. Nesse passo, a LGPD traz 10 hipóteses para o tratamento dos dados pessoais em geral e, também, 8 hipóteses para o tratamento de dados sensíveis.

As bases legais são distintas a depender da categoria do dado. Nesse passo, a LGPD traz 10 hipóteses para o tratamento dos dados pessoais em geral e 8 hipóteses para o tratamento de dados sensíveis.

No tocante ao setor da saúde, podemos citar as três principais bases legais, mas que, evidentemente, não são as únicas:

a) consentimento coletado forma específica e destacada, para finalidades específicas;

b) sem o consentimento: para cumprimento de obrigação legal ou regulatória pelo controlador, proteção da vida ou da incolumidade física do titular ou de terceiro;

c) sem o consentimento: para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária.

Sobre o terceiro item, a lei prevê obrigações como a de nomear um encarregado (responsável pelo programa de governança), prever mecanismos de transparência, como uma política de privacidade e, também, garantir os direitos dos titulares dos dados.

Conclusão

As clínicas médicas e demais áreas da saúde cuidam de grande quantidade de dados pessoais e dados pessoais sensíveis, pertencentes aos próprios médicos, pacientes e colaboradores.

Embora a telemedicina esteja avançando, é importante garantir a privacidade e segurança dos dados do paciente.

Por isso, caso haja um “vazamento” de dados pessoais, em especial dos dados sensíveis (exames, diagnósticos, imagens, etc), o dano à reputação da clínica e do médico responsável pode ser grande.

Diante dessas considerações, ao falarmos sobre privacidade e proteção de dados, é fácil notar que estamos lidando com temas complexos e que demandam o acompanhamento de profissionais da área jurídica e segurança da informação, com a finalidade de proporcionar maior proteção à prestação de serviços médicos.

Precisa de ajuda? Entre em contato conosco!

Lei Geral de Proteção de Dados, como se adequar?

A Lei Geral de Proteção de Dados é uma lei que regulamenta as atividades que envolvem dados, tratados tanto na forma online quanto offline, de forma a proteger as informações e a privacidade dos titulares.

A discussão sobre a segurança dos dados pessoais ganhou destaque a partir de eventos como o caso da Cambridge Analytica, em que dados de usuários do Facebook foram supostamente utilizados durante a última campanha presidencial dos EUA.

Hoje, é necessário conscientizar a população de que vivemos em um mercado digital e data driven, em outras palavras, baseado em dados.

O programa de implementação visa mitigar riscos de não conformidade às normas de proteção de dados, o que pode levar a ações de fiscalização e a perda de confiança de parceiros e clientes.

Quais são as etapas de um projeto de adequação à LGPD?

Um projeto de adequação envolve entre 3 e 6 etapas, a depender do porte e das particularidades da entidade pública ou privada. Conheça os principais passos:

1º Passo: Avaliação e conscientização:

Faz-se uma reunião de kick off para conhecer a empresa/organização e suas principais atividades.

2º Passo: Mapeamento dos dados ou Data Mapping:

São conhecidos e mapeados todos os fluxos de dados pessoais.

3º Passo: Diagnóstico e análise de riscos ou Gap Analysis:

É elaborada uma matriz de risco identificando os pontos em desconformidade com a legislação e apontar as correções necessárias.

4º Passo: Planejamento (Prognóstico):

Elabora-se um plano de ação personalizado com as atividades de mitigação dos riscos até então detectados.

5º Passo: Implementação do Programa de Governança:

Coloca-se em prática o plano de ação, implementando as medidas de governança previstas na lei.

6º Passo: Monitoramento e melhoria contínua:

Após os passos citados acima, deve ser feito um acompanhamento da evolução legislativa e regulatória para que a empresa se mantenha em conformidade. Além disso, devem ser observadas as melhores práticas para evitar incidentes de segurança.

Esse é, basicamente, o resumo do que é necessário.

Atenção: a exemplo do que se tem visto na Europa, a adequação feita de forma equivocada ainda te deixará com risco de receber punições.

Por isso, contamos com profissionais capacitados para te ajudar na implementação do seu programa de proteção de dados pessoais.

No mínimo, a sua empresa deve: elaborar uma boa Política de Privacidade, garantindo transparência aos titulares; conhecer quais dados estão sendo tratados e quais estão sendo tratados em excesso, nomear um encarregado (DPO), impor medidas de segurança de informação e revisar os contratos de colaboradores e parceiros.

Por fim, convém ressaltar que cada empresa tem suas particularidades e a adequação com a lei deve ser feita com o auxílio de um profissional capacitado.

Precisa de ajuda? Entre em contato conosco!

O passo a passo acima foi feito de forma resumida e cada etapa demanda cuidados essenciais.