No Brasil, muitos ainda acreditam na lamentável possibilidade de uma determinada lei “não pegar”. Não é o que ocorre com a Lei 13.709/2018. Mais conhecida como Lei Geral de Proteção de Dados (LGPD), após postergação e recentes dúvidas quanto à data para sua entrada em vigor, passou a vigorar, ainda que parcialmente, no último mês de agosto.
Embora a aplicação das sanções administrativas previstas na LGPD tenha sido adiada para 1º de agosto de 2021, os direitos previstos na norma já podem ser exigidos pelos titulares de dados pessoais e as obrigações dos agentes de tratamento, sejam eles entes públicos ou privados, devem ser cumpridas.
Aos que ainda desconhecem o tema, em síntese, a LGPD dispõe sobre as atividades de tratamento de dados pessoais, ou seja, sobre toda atividade realizada com dados pessoais, tanto em meios físicos, como me meios digitais. Apresentando uma definição bastante ampla daquilo que pode ser considerado dado pessoal, a LGPD ultrapassa a esfera de dados cadastrais, devendo-se analisar o contexto em que os dados são tratados para uma correta conclusão quanto a sua aplicação.
Estabelece também hipóteses em que os dados pessoais poderão ser tratados, conhecidas como bases legais, bem como princípios a serem observados, além de direitos e garantias aos titulares dos dados pessoais, ou seja, a pessoa física a quem os dados se referem. Traz ainda as sanções administrativas a serem aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD) em caso de descumprimento da norma, que poderão chegar a R$50.000.000,00 por infração.
Nada impede, no entanto, que outros órgãos, como PROCONs, Ministério Público, ou mesmo os próprios titulares, venham a perseguir e aplicação de sanções ou o pagamento de indenizações decorrentes da não adequação à LGPD por pessoas físicas ou jurídicas que exerçam atividades econômicas mediante o tratamento de dados pessoais.
Além disso a LGPD, estabelece a necessidade de nomeação de um encarregado pelos dados pessoais (Data Protection Officer – DPO), que atuará como canal de comunicação entre aquele que toma as decisões quanto às atividades de tratamento de dados pessoais (controlador), os titulares e a ANPD. O DPO poderá ser pessoa física ou jurídica, contratada no âmbito interno da empresa ou prestador de serviços.
É neste contexto, observadas as peculiaridades da administração pública, que o Instituto Nacional da Propriedade Industrial (INPI), por meio da Portaria INPI/PR nº 324, de 22 de outubro de 2020, nomeou o ouvidor Davison Rego Menezes como DPO, disponibilizando em seu site os canais de comunicação com o DPO nomeado.
Ainda em cumprimento à LGPD, o INPI tornou pública informações sobre suas atividades de tratamento de dados pessoais, deixando claro que as finalidades se restringem ao cumprimento de suas obrigações elencadas na Lei nº 5.648 de 11 de dezembro de 1970, na Portaria MDIC nº 11, de 27 de janeiro de 2017 e na Lei nº 9.279 de 14 de maio de 1996.
Foi também instituída, por meio da Portaria INPI/PR nº 325, de 22 de outubro de 2020, a Força-Tarefa de Proteção de Dados Pessoais no âmbito do INPI, com o objetivo de assessorar o DPO na implementação e monitoramento da conformidade com LGPD e para monitoramento de vulnerabilidades técnicas em serviços prestados pelo INPI, que envolvam atividades de tratamento de dados pessoais.
As informações a respeito das atividades de tratamento de dados pessoais realizadas, bem como os canais de comunicação com seu DPO podem ser acessadas diretamente no website do INPI.
Já sob o ponto de vista do setor privado, tais providências tomadas pela administração pública, neste caso o INPI, reforçam a indubitável necessidade de adequação de todos aqueles que, no âmbito do exercício de suas atividades econômicas, realizam, de alguma forma, o tratamento de dados pessoais.
