Читать книгу Derecho de la moda en Iberoamérica (Fashion Law) - Enrique Ortega Burgos - Страница 136
11.2. Principios del tratamiento de datos
Оглавление− Describa los principios aplicables a los tratamientos de datos en su jurisdicción (p.ej. principio de licitud del tratamiento, principio de lealtad y transparencia, proporcionalidad, etc.).
Em relação aos princípios aplicáveis ao tratamento de dados, o direito brasileiro apresenta nítido paralelismo com o modelo do Regulamento Europeu (GDPR). Nos termos do Art.6.º da LGPD, as atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios: I – finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades; II – adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento; III – necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados; IV – livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais; V – qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento; VI – transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial; VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão; VIII – prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais; IX – não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos; X– responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas. Ainda segundo o Art. 2o da LGPD brasileira, a disciplina geral da proteção de dados pessoais no Brasil tem como fundamentos: I – o respeito à privacidade; II – a autodeterminação informativa; III – a liberdade de expressão, de informação, de comunicação e de opinião; IV – a inviolabilidade da intimidade, da honra e da imagem; V – o desenvolvimento econômico e tecnológico e a inovação; VI – a livre iniciativa, a livre concorrência e a defesa do consumidor; e VII – os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais. O conceito normativo de tratamento de dados é dado pelo Art. 5o, inciso X, da LGPD: "(...) toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração".
− Indique el cumplimiento de cuáles de los anteriores principios supone mayor complejidad en el sector de la moda.
É comum que o setor de moda seja norteado por práticas que são, por vezes, contrárias ao disposto acima, tornando o cumprimento desses princípios ainda mais desafiador. A adequação requer não só medidas efetivas de revisão de governança e das práticas da empresa, como a própria mudança de cultura do setor.
Por exemplo, é recorrente a orientação para que sejam coletados o maior número de dados possível dos consumidores, ainda que não haja necessidade imediata daquele dado no momento, mas que podem ser úteis futuramente (contrariando o princípio da minimização/necessidade).
Também é comum a coleta de dados pessoais para utilização de forma distinta daquela informada originalmente e para outra finalidade (por exemplo, dados que são informados para uma finalidade e acabam sendo utilizados para diversas outras, sem o conhecimento do titular). Outra prática comum o compartilhamento de dados pessoais pelo controlador com outras empresas, muitas vezes sem o conhecimento, contrariando o princípio de adequação e finalidade. Garantir a segurança por meio da adoção das melhores técnicas disponíveis para proteção dos dados pessoais dos consumidores contra incidentes de segurança é, também, um desafio para o setor de moda, especialmente quando há um grande volume de transações on line.
− Describa las bases legales o supuestos que habilitan el tratamiento de los datos personales en su jurisdicción (p.ej. el consentimiento del propio interesado o titular, por ser necesario para cumplir con una obligación legal, por ser necesario para satisfacer un interés legítimo, el cumplimiento de un contrato o una relación jurídica, etc.).
A LGPD brasileira estabelece hipóteses taxativas (ou enumerativas) de tratamento de dados pessoais em seu artigo 7.º, sendo as seguintes mais afeitas ao setor de moda: (a) fornecimento de consentimento pelo titular dos dados; (b) cumprimento de obrigação legal ou regulatória por parte do controlador; (c) quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados; (d) exercício regular de direitos no curso do processo judicial, administrativo e arbitral; (e) quando necessário para atender aos legítimos interesses do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; (f) para proteção do crédito. Ainda que menos comuns ao setor de moda, também são hipóteses expressamente previstas no artigo 7.º da LGPD: (g) proteção da vida ou integridade física do titular ou de terceiro; (h) tratamento e uso compartilhado de dados pela administração pública, necessários à execução de políticas públicas estabelecidas por leis e regulamentos ou com base em contratos, convênios ou instrumentos similares (sujeitos às condições previstas no Capítulo IV da LGPD); (i) tratamento para a realização de estudos por órgão de pesquisa, estando assegurada, sempre que possível, a anonimização dos dados pessoais; (j) tratamento para a proteção da saúde em procedimentos realizados por profissionais de saúde, serviços de saúde e autoridade sanitária, exclusivamente.
Especificamente em relação ao consentimento (Art. 7.º, inciso I da LGPD), a Lei estabelece requisitos específicos de forma e de escopo, nomeadamente, que ele seja fornecido por meio escrito ou por outro meio que demonstre a manifestação de vontade pelo titular (Art. 8.º, inciso I); e que se refira a "finalidades determinadas", sendo nulas as autorizações genéricas para tratamento de dados pessoais (Art.8.º, inciso §4.º, LGPD). Em caso de consentimento por escrito, a Lei ainda estabelece obrigatoriedade de expressa previsão contratual (i.e. que o consentimento esteja fundado em "cláusula destacada das demais cláusulas contratuais", Art.8.º, §1.º). O ônus de provar os meios de manifestação do consentimento do titular dos dados recai sobre o controlador (Art.8.º, 2.º, LGDP). Da mesma forma, a Lei proíbe o tratamento de dados mediante vício de consentimento (Art.8, 3.º, LGDP), que se qualifica, no direito civil brasileiro, entre os defeitos do negócio jurídico, tais como erro ou ignorância, dolo, coação, estado de perigo e lesão (Arts. 138 e ss. Código Civil).
A Lei prevê ainda que o consentimento pode ser "revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação, em linha com o inciso VI do caput do art. 18 da LGPD. A regra estabelece, entre os direitos do titular, o direito de eliminação de "dados desnecessários, excessivos ou tratados em desconformidade" com os dispositivos da Lei. Ainda em relação ao tratamento, a LGPD estabelece a obrigação do controlador de informar o titular sobre alterações de informações que digam respeito à finalidade específica do tratamento, forma e duração do tratamento, identificação do controlador e uso compartilhado de dados e sua finalidade (cf. Art.8.º, Par. 2.º, LGDP c/c Art.9.º, incisos I, II, III e V). Nestes casos, a Lei prevê que a informação deva ser dada com "destaque de forma específica do teor das alterações, podendo o titular, nos casos em que o seu consentimento é exigido, revogá-lo caso discorde da alteração". A regra é claramente protetiva para o titular de dados, com fundamento no Art. 9.º da LGPD, que assegura o direito ao acesso facilitado às informações sobre o tratamento, que devem ser oferecidas, pelo controlador, de "forma clara, adequada e ostensiva", com o objetivo de atender ao princípio do livre acesso (Art.9.º, caput, LGPD c/c Art.6.º, inciso IV). Segundo o princípio, os titulares dos dados devem ter assegurada a "consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais".
Entre as exceções relevantes sobre a exigência de consentimento prévio, encontra-se a hipótese relativa a "dados tornados manifestamente públicos pelo titular", desde que resguardados os direitos do titular e os princípios previstos pela Lei (Art. 7.º, §4.º). Isso significa que, para esse caso, a atividade de tratamento dos dados pode ser realizada sem a necessidade do consentimento prévio titular. Trata-se, contudo, de uma exceção específica e muito controvertida, ao mesmo tempo. Há dados que são publicados, por exemplo, no perfil do titular em uma rede de relacionamento social, plataforma de compartilhamento e vídeos, ou em página de internet do titular. O alcance desses meios e a publicidade de informações produzidas e/ou relativas ao titular seriam suficientes para considerar que os dados foram fornecidos e colocados à disposição pelos próprios titulares. No entanto, a atividade de tratamento pelos controladores ainda poderia ser limitada à observância dos direitos do titular em confronto, por exemplo, com a ausência de conhecimento sobre a extensão da publicação dos dados fornecidos. Dados tornados manifestamente públicos pelo titular resultam de sua conduta nos ambientes informáticos e digitais, no exercício da autonomia privada, e não se confundem com "dados pessoais de acesso público", que decorrem de publicação obrigatória por lei, também submetidos às hipóteses que autorizam ou legitimam o tratamento de dados.
Interesse legítimo, tal como previsto no Art. 10 da LGPD, também é fundamento para o tratamento de dados pelo controlador. A Lei condiciona o interesse a "finalidades legítimas", que devem ser consideradas a partir de situações concretas não exaustivas: (i) apoio e promoção de atividades do controlador; (ii) proteção, em relação ao titular dos dados, do exercício regular de seus direitos; (iii) em relação à prestação de serviços que beneficiem o titular dos dados. Nesses dois últimos casos, segundo a regra do Art. 10, inciso II, da LGPD o controlador deverá levar em conta as legítimas expectativas do titular e respeito aos direitos e garantias fundamentais.
As hipóteses que embasam o interesse legítimo do controlador são, segundo o direito brasileiro, exemplificativas e não taxativas, observadas condicionantes específicas e previstas na LGPD, a saber: (i) tratamento de dados pessoais "estritamente necessários para a finalidade pretendida" (Art.10.º, §1.º); e (ii) adoção de medidas para garantir a transparência do tratamento dos dados baseado em seu legítimo interesse, portanto, endereçando a conduta do controlador (Art.10.º, §2.º). Em todos os casos fundados no legítimo interesse do controlador, a ANPD poderá, segundo suas competências de fiscalização e monitoramento, solicitar relatório de impacto à proteção de dados pessoais, estando assegurados os segredos comerciais e industriais (Art. 10, § 3.º, LGPD).
– Indique cuáles de las anteriores bases legales se aplican en mayor medida en los tratamientos habituales en el sector de la moda.
A maioria dos tratamentos de dados no setor da moda feitos de forma legítima são normalmente respaldados por uma das seguintes bases legais: legítimo interesse (por exemplo, envio de mailing promocional a clientes que não tenham optado por deixar de receber esse tipo de material, por meio de opt out), consentimento (em que é requerida do cliente uma manifestação, por exemplo, no caso em que o mesmo cliente que fez o opt-out mudar de ideia e decidir receber mailing promocional) e cumprimento de obrigação legal (por exemplo, compartilhamento com autoridades fiscais de informações quando a compra excede R$ 10.000,00 ou o equivalente em outra moeda, conforme Resolução n.º 25, de 16 de Janeiro de 2013 ou a apresentação obrigatória da nota fiscal de compra ou informação de CPF para efetivação de troca de mercadorias.