Desafios da Aplicação da LGPD nos Processos de Recuperação Judicial

DESAFIOS DA APLICAÇÃO DA LGPD NOS PROCESSOS DE RECUPERAÇÃO JUDICIAL – Gestão da Entrada de Informações

Por Giovanna Macedo e Marcos Romano

A Lei Geral de Proteção de Dados (Lei 13.709/2018) regula o tratamento de dados pessoais no território brasileiro. O escopo de atuação, na verdade, não busca abranger apenas empresas com sede em território nacional, mas sim proteger os dados pessoais coletados em território nacional ou utilizado para oferta de bens e serviços aos cidadãos brasileiros, conforme definido no Art. 3º da Lei:

Art. 3º Esta Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que:

I – a operação de tratamento seja realizada no território nacional;

II – a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou

III – os dados pessoais objeto do tratamento tenham sido coletados no território nacional.

O desenvolvimento de uma legislação de proteção de dados no Brasil ganhou força com a edição do Regulamento Europeu sobre proteção de dados (GDPR), que entrou em vigor em março de 2018. O regulamento exige que, para qualquer troca ou transferência de informações de empresas sediadas na União Europeia, é necessário que o país receptor/transmissor tenha uma legislação com níveis compatíveis de proteção da GDPR.

Em 2018, o Congresso acelerou o trâmite e a aprovação da Lei Geral de Proteção de Dados, considerando não só a vigência da GDPR, mas também o desejo brasileiro de ingressar no rol de países da OCDE (Organização do Comércio e Desenvolvimento Econômico), que exige, entre outros fatores, que o país aspirante tenha uma legislação de proteção de dados em grau adequado e uma Autoridade Nacional com liberdade e autonomia para fiscalizar o cumprimento da lei.

Para garantir a possibilidade de adequação das empresas, o legislador previu vacatio legis (período de tempo em que a lei não entra em vigor, possibilitando a adequação dos processos e procedimentos ao disposto na nova lei) de 18 meses, ao menos antes das discussões acerca da Medida Provisória 959/2020.

A entrada em vigor da LGPD sempre foi tema de forte debate entre o Poder Público, Associações de Privacidade de Dados e membros dos setores empresariais. A pandemia iniciada em março de 2020 acentuou os pedidos de prorrogação da entrada em vigor da Lei.

O Congresso Nacional, nesse cenário, aprovou o Projeto de Lei (PL) 1.179/2020 – já convertido na Lei 14.010/2020 – inaugurando o Regime Jurídico Emergencial e Transitório das Relações Jurídicas de Direito Privado durante o período de pandemia. Um dos pontos abarcados foi a prorrogação da aplicação das penalidades da Lei Geral de Proteção de Dados para Agosto de 2021.

Após intensa discussão, o Congresso aprovou também o Projeto de Lei de Conversão (PLV) 34/2020, decorrente da análise da Medida Provisória 959/2020. Esse PLV, pendente de sanção/veto pelo Presidente da República, confirma a entrada em vigor da Lei Geral de Proteção de Dados imediatamente após a sanção/veto.

Isso ocorrerá já que a parte relativa a uma possível prorrogação da entrada em vigor da LGPD foi considerada “não escrita” no PLV, ou seja, mesmo com o veto, a LGPD entrará em vigor imediatamente no dia da sanção/veto, com efeitos retroativos ao dia 16 de agosto de 2020.

Na teoria, a LGPD entrará em vigor no dia em que o PLV 34/2020 for sancionado ou vetado, com efeitos práticos retroativos até 16 de agosto de 2020. Logo, na prática, a LGPD já está em vigor.

De acordo com as reflexões acima e tendo em vista que a LGPD pode ser considerada em vigor, além da importância da análise dos seus impactos e necessidade de adequação das organizações, é também importante pensar como referida questão será tratada nos processos de insolvência, especificamente nos processos de recuperação judicial, em que pode haver um grande volume de dados a serem tratados.

Como é sabido, os processos de recuperação judicial têm como principais players o(a) Magistrado(a), a recuperanda (empresa em recuperação judicial), os credores, o Ministério Público e, por fim, o(a) Administrador(a) Judicial.

O Administrador Judicial, enquanto auxiliar do juízo na fiscalização das atividades da empresa em recuperação judicial e os advogados das Recuperandas, são os agentes que mais lidam com informações e dados provenientes da empresa em recuperação judicial, e, por vezes, a depender da complexidade do processo, o volume de informações pode ser muito grande.

Diante disso, os profissionais que atuam nesta área devem estar atentos às modificações a fim de resguardarem os dados a que tiveram acesso no desempenho de suas funções.

Em que pese a situação ser recente, é interessante já aproximar as discussões da prática, e isso só é possível quando existe uma compreensão do conceito de dados pessoais e quais são os dados comuns e os dados sensíveis.

Para regular o tratamento de dados pessoais, a Lei Geral de Proteção de Dados precisou trazer o conceito de dado pessoal, separando em duas grandes categorias os tipos de dados pessoais:

 

Dentre as alterações trazidas pela Lei Geral de Proteção de Dados estão as hipóteses legais autorizadoras de tratamento dos dados pessoais. Em termos práticos, essas “autorizações de tratamento” variam a depender do tipo de categoria do dado, já que são 10 hipóteses de tratamento aos dados pessoais e outras 7 hipóteses de tratamentos para dados pessoais sensíveis.

No âmbito dos processos de recuperação judicial, a hipótese mais utilizada em ambos os casos (dados pessoais comuns e dados pessoais sensíveis) deverá ser o da utilização em Processo Judicial, mas cada operação de tratamento realizada, seja no âmbito dos credores, Recuperandas ou Administradores Judiciais, deverá ser analisada concretamente. Não existe uma única resposta geral quando o assunto é tratamento de dados.

Esse cenário é recorrente no âmbito da União Europeia, onde, com a entrada em vigor da GDPR, os administradores judiciais (trustees), por exemplo, incorporaram obrigações e responsabilidades no processamento dos dados pessoais com que tem contato. Cada operação de tratamento realizada deverá ser balizada por uma base legal autorizadora e estar em consonância com os princípios expostos na legislação.

Como mencionado, as equipes de Administração Judicial e de apoio advocatício à recuperanda são os agentes que mais recebem informações, e pelos mais variados meios (via processo, via whatsapp, telegram, e-mail, portal específico, etc), sendo necessária e primordial uma gestão clara das informações recebidas e do tratamento destas informações.

Não obstante a necessidade de gestão da entrada de informações, é primordial que uma equipe de Administração Judicial que possua um canal de comunicação virtual entre os agentes do processo e eventualmente terceiros interessados, em que há o compartilhamento de dados pessoais provenientes dos processos de recuperação judicial esteja resguardada no que diz respeito a proteção de dados.

Não é novidade que as equipes de administração judicial estejam trazendo soluções inovadoras que possibilitem o acesso simplificado dos processos de recuperação judicial em seus sites ou portais, considerando a dificuldade de acesso à informação dentro do processo de recuperação judicial, que normalmente possui milhares de folhas/movimentações.

Diante disso, toda cautela é necessária, com a elaboração de políticas de privacidade e de termos de uso, e devido ao volume de dados recebidos os agentes do processo deverão sempre ter em mente as bases legais para tratamento dos dados e segurança da informação em cada operação.

#insolvencia #LGPD #falencia #administracaojudicial #recuperacaojudicial #protecaodedados

A LEI GERAL DE PROTEÇÃO DE DADOS TEM NOVA DATA PARA ENTRAR EM VIGOR

Por Marcos Augusto Romano e Rafael Reis, advogados de Tecnologia e Inovação Digital.

O Congresso Nacional votou a Medida Provisória 959/2020 que, entre outros assuntos, prorrogava a entrada em vigor da Lei Geral de Proteção de Dados. A MP previa maio de 2021 como marco inicial de vigência da LGPD, enquanto as sanções previstas na legislação poderiam ser aplicadas a partir de agosto de 2021. Contudo, durante a votação na Câmara dos Deputados a MP foi emendada para que a LGPD entrasse em vigor em 31 de dezembro de 2021.

Em uma nova rodada de mudanças, o Senado propôs um Projeto de Lei de Conversão, alterando o posicionamento da Câmara e definindo a imediata entrada em vigor da Lei Geral de Proteção de Dados, logo após a sanção ou veto presidencial a esse Projeto de Lei de Conversão. Isso porque os Senadores entenderam que o Art. 4º da MP – justamente o artigo que tratava da data de entrada em vigor da LGPD – já havia sido apreciado pelo Senado com a edição da Lei 14.010/2020 e, portanto, essa pauta não poderia ser objeto de Medida Provisória. A conclusão foi a retirada deste artigo do PLV, que nos termos do Processo Legislativo, possui o status de “não escrito”.

Isso coloca o Brasil no mesmo rol de países com legislação sobre proteção de dados, tal qual os países-membro da União Europeia e nossos vizinhos sul-americanos Chile, Uruguai e Argentina.

A nova data de entrada em vigor não altera o prazo inicial para aplicação de sanções administrativas, mantido para agosto de 2021. Isso significa uma aceleração nos Programas de Adequação para todas aquelas organizações que ainda não iniciaram o desenvolvimento e adequação à Lei Geral de Proteção de Dados, já que esses projetos muitas vezes levam cerca de 6 a 9 meses para serem finalizados.

E a data pode sofrer nova alteração?

Antes da pandemia, a LGPD possuía previsão de entrada em vigor em agosto de 2020, mas a data havia sido alterada por um Projeto de Lei (PL 1.179/2020, que se tornou a lei 14.010/2020) e, posteriormente, por uma Medida Provisória do Presidente da República (MP 959/2020). Com a definição do Congresso, o Presidente da República possui 15 dias úteis para sancionar ou vetar o Projeto de Lei de Conversão (PLV).

Independentemente da sanção ou veto, a LGPD formalmente entra em vigor imediatamente. Como o trecho sobre a prorrogação da LGPD possui o status de “não escrito”, na prática é como se a Medida Provisória nunca tivesse tratado acerca da proteção de dados. Deste modo, o Presidente irá sancionar ou vetar demais temas que originalmente estavam na MP, mas a prorrogação da LGPD não será um deles.

As Medidas Provisórias podem ser editadas em casos de relevância e urgência, produzindo efeitos imediatos a partir de sua edição. Contudo, vale lembrar que as MP precisam ser votadas em até 120 dias pelo Congresso Nacional, sob pena de perderem sua eficácia. Portanto, a Lei Geral de Proteção de Dados pode ser objeto de novas Medidas Provisórias desde que a MP editada possua esses dois requisitos.

Vale ressaltar que o Supremo Tribunal Federal possui diversas decisões balizando que o caráter de relevância e urgência raramente é analisado pelo Poder Judiciário, já que as relações são regidas pela separação entre os poderes, ou seja, a critério do Poder Executivo, haverá sim possibilidade de edição de nova MP:

Conforme entendimento consolidado da Corte, os requisitos constitucionais legitimadores da edição de medidas provisórias, vertidos nos conceitos jurídicos indeterminados de “relevância” e “urgência” (art. 62 da CF), apenas em caráter excepcional se submetem ao crivo do Poder Judiciário, por força da regra da separação de poderes (art. 2º da CF).  [ADC 11 MC, voto do rel. min. Cezar Peluso, j. 28-3-2007, P, DJ de 29-6-2007.] ADI 4.029, rel. min. Luiz Fux, j. 8-3-2012, P, DJE de 27-6-2012.

Todavia, em situações excepcionais, as MP’s podem sujeitar-se ao crivo e controle do Poder Judiciário:

A edição de medidas provisórias, pelo presidente da República, para legitimar-se juridicamente, depende, dentre outros requisitos, da estrita observância dos pressupostos constitucionais da urgência e da relevância (CF, art. 62, caput). Os pressupostos da urgência e da relevância, embora conceitos jurídicos relativamente indeterminados e fluidos, mesmo expondo-se, inicialmente, à avaliação discricionária do presidente da República, estão sujeitos, ainda que excepcionalmente, ao controle do Poder Judiciário, porque compõem a própria estrutura constitucional que disciplina as medidas provisórias, qualificando-se como requisitos legitimadores e juridicamente condicionantes do exercício, pelo chefe do Poder Executivo, da competência normativa primária que lhe foi outorgada, extraordinariamente, pela Constituição da República. (…) A possibilidade de controle jurisdicional, mesmo sendo excepcional, apoia-se na necessidade de impedir que o presidente da República, ao editar medidas provisórias, incida em excesso de poder ou em situação de manifesto abuso institucional, pois o sistema de limitação de poderes não permite que práticas governamentais abusivas venham a prevalecer sobre os postulados constitucionais que informam a concepção democrática de Poder e de Estado, especialmente naquelas hipóteses em que se registrar o exercício anômalo e arbitrário das funções estatais. [ADI 2.213 MC, rel. min. Celso de Mello, j. 4-4-2002, P, DJ de 23-4-2004.]

De toda maneira, ainda que seja possível uma nova MP para alterar novamente a data de entrada em vigor da LGPD, salvo alguma situação excepcional, a Lei Geral entrará em vigor na prática, no mais tardar, em meados de setembro de 2020. A data acelera o trabalho das empresas na adequação das suas operações e fluxos aos princípios e direitos inaugurados pela LGPD.

#protecaodedados #lgpd

PRINCIPAIS IMPACTOS DA LEI GERAL DE PROTEÇÃO DE DADOS NOS SEGMENTOS EMPRESARIAIS

PRINCIPAIS IMPACTOS DA LEI GERAL DE PROTEÇÃO DE DADOS NOS SEGMENTOS EMPRESARIAIS

A Lei Geral de Proteção de Dados entrará em vigor (só não há certeza quanto à data) e com ela uma série de alterações ocorrerão em todas as empresas dos mais variados segmentos. Confira alguns dos principais impactos e dicas de adequação preparadas pela equipe de Tecnologia e Inovação Digital.

Baixe o PDF do conteúdo completo com as principais dicas para adequação.

QUAL O IMPACTO DE UM FLUXO DE GARANTIAS DOS TITULARES DE DADOS EM UMA EMPRESA?

Por Marcos Augusto Romano e Rafael Reis, advogados da Área de Tecnologia e Inovação Digital do escritório Becker

A Lei Geral de Proteção de Dados (Lei 13.709/2018) estabelece uma série de garantias e direitos de titulares de dados, dentre as quais está o direito de acesso aos dados tratados por um determinado controlador de dados.

Os direitos elencados no Art. 18 de referida Lei trarão mudanças no Modus Operandi das empresas, que precisarão de um processo de comunicação clara e eficiente com seus clientes para poder cumprir os prazos da legislação e garantir que o Titular de Dados possa exercer seus direitos. O mesmo vale para colaboradores internos ou informações pessoais comumente inseridas em softwares de gestão de relacionamento com clientes (CRM), sejam eles pessoas físicas ou jurídicas.

Até o momento, não há no Brasil a instalação efetiva de uma Autoridade Nacional de Proteção de Dados (ANPD), órgão que será responsável pela fiscalização nas empresas acerca do cumprimento da LGPD e das rotinas de garantia dos direitos de titulares, que poderão acarretar na instauração de processos administrativos capazes de gerar as sanções previstas na Lei.

Nesse sentido, a prática de mercado tem sido analisar os exemplos do território Europeu com a aplicação da GDPR (General Data Protection Regulation), legislação de proteção de dados aplicável aos países membros da União Europeia e que serviu de base a criação da LGPD brasileira.

A Autoridade Holandesa de proteção de dados aplicou, no dia 07.07.2020, multa de 830mil euros à BKR, empresa responsável por centralizar as informações de Crédito e comportamento de pagamento de cidadãos holandeses. A BKR tinha como prática a cobrança de taxas para garantir a prestação de algumas informações aos Titulares e desencorajava seus clientes a prosseguirem com o pedido de acesso aos seus dados tratados pela Companhia.

O assunto tem ganhado espaço e visibilidade nos mercados com políticas mais consolidadas e sérias relacionadas à proteção de dados e exercício de direitos dos Titulares. No Brasil, mesmo com indefinição acerca da entrada em vigor da Lei Geral de Proteção de Dados e de suas sanções, o assunto está na pauta do Governo e das grandes corporações, que trafegam dados às matrizes localizadas em países cuja legislação de privacidade e proteção de dados é mais robusta. Portanto, são esperadas autuações semelhantes às empresas que não adequarem as suas rotinas para garantir o acesso dos Titulares aos seus direitos.

A prevenção, nesse caso, é estabelecer uma rotina e um fluxo para responder às solicitações de exercício de direitos recebidas após a entrada em vigor da LGPD. Estes tópicos são partes essenciais e integrantes dos melhores Programas de Adequação em proteção de dados.

#inovacaoetecnologiabecker

#beckerdigital

#lgpd

A AUTONOMIA DA AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS

Por Marcos Augusto Romano e Rafael Reis, advogados da área de Tecnologia e Inovação Digital no escritório Becker Direito Empresarial

Tramita atualmente na Câmara dos Deputados a Proposta de Emenda à Constituição (PEC) nº 17, que propõe a alteração da Constituição Federal para inclusão do direito fundamental à proteção dos dados pessoais, estabelecendo como competência privativa da União a legislação sobre o tema.

Após várias audiências públicas e consultas a especialistas no tema, foi incluída na proposta a sugestão de que a autoridade fiscalizadora do cumprimento e respeito à proteção e privacidade dos dados pessoais de titulares seja independente, integrante da administração pública federal indireta, submetida a um regime autárquico especial.

Essa autoridade é a ANPD (Autoridade Nacional de Proteção de Dados), criada oficialmente a partir da Lei 13.853/2019, que substituiu a Medida Provisória 869/2018. Em outras palavras, a ANPD possuiria um regime jurídico semelhante ao aplicado a ANATEL, ANAC, ANS e outras agências reguladoras de setores da economia.

O debate sobre a real independência da Autoridade surgiu logo após a publicação da Lei Geral de Proteção de Dados em agosto de 2018, já que o texto legislativo previu a criação da ANPD sem aumento de despesa e vinculada ao Gabinete do Presidente da República, o que levanta algumas discussões sobre a sua independência em relação ao poder executivo e o seu poder de investigação.

Ainda que o texto da LGPD aponte que a ANPD possui autonomia técnica e decisória, muitos especialistas discordam desse apontamento, já que a Autoridade ficaria responsável por fiscalizar (e aplicar punições, se for o caso) para órgãos vinculados também à Presidência da República. Eventuais multas aplicadas pela ANPD seriam arcadas pela mesma secretaria que gerencia e planeja o orçamento da Autoridade, ou seja, não haveria como confirmar e atestar a parcialidade da ANPD no cumprimento de suas obrigações quando o “fiscalizado” fosse integrante da administração pública vinculada ao Poder Executivo.

Por isso, o pedido (já antigo) de desvinculação da ANPD do gabinete da Presidência da República é tema recorrente em congressos de discussão da aplicação da Lei Geral de Proteção de Dados Pessoais e volta agora com a inclusão de referida questão na PEC nº 17.

Vale lembrar que o Brasil almeja, desde 2017, a entrada na OCDE (Organização para a Cooperação e Desenvolvimento Econômico) e entre os requisitos primordiais constante na lista de providências que países membros da OCDE devem possuir é a existência de uma Lei Geral de Proteção de Dados Pessoais e a Criação de um órgão fiscalizador independente capaz de auxiliar na prevenção e proteção dos dados, bem como aplicar as sanções previstas na legislação em caso de violação a algum dispositivo da lei ou aos direitos fundamentais dos titulares de dados.

Nesse sentido, a proposta de autonomia da Autoridade é vista com bons olhos no cenário de proteção de dados e também no cenário político-econômico que o Brasil tenta se inserir, notadamente em relação à entrada na OCDE e, também, a possibilidade de ser considerado um país com grau de proteção de dados pela Autoridade de Proteção de Dados da União Europeia, uma espécie de atestado de qualidade da legislação de proteção de dados, que permitiria, entre outros benefícios, de um livre fluxo de dados entre o Brasil e os países integrantes do bloco europeu.

Considerando que poucos nomes já foram indicados para composição dos cargos da Autoridade Nacional de Proteção de Dados, e o mercado de regulação da Autoridade engloba praticamente todos os setores da economia, é certo que a atuação será fragilizada no momento inicial em razão do alto nível de despreparo das empresas no Brasil, além da falta de mão-de-obra capaz de fiscalizar o cumprimento da LGPD ou das demais legislações já vigentes.

Não obstante, como o nome já pressupõe, atualmente a PEC é somente uma proposta, sem caráter ou força de lei. No momento, cabe aguardar os próximos passos que serão tomados pelo Congresso Nacional, responsável pelos rumos de crescimento e desenvolvimento econômico e social proposto no plano de governo brasileiro e, em paralelo, acompanhar os passos de adequação que já estão sendo tomados pelos setores da economia privada do País.

 

A LEI GERAL DE PROTEÇÃO DE DADOS NAS AGREMIAÇÕES ESPORTIVAS

A LEI GERAL DE PROTEÇÃO DE DADOS NAS AGREMIAÇÕES ESPORTIVAS

Escrito por Marcos Augusto Romano. Pós-Graduando em Direito Digital e Tecnologia pela FAE Business School e advogado na Becker Direito Empresarial.

 

Luvas. Direitos de Imagem. Contratos de Trabalho. Comissões de empresários. Contratos de patrocínio. Contratos de terceirizados.

As obrigações de uma agremiação esportiva são inúmeras. A Lei Geral de Proteção de Dados, quando entrar em vigor, será mais uma delas. Há uma série de princípios a serem respeitados para que tratamento de dados pessoais sejam realizados, dentre os quais destacam-se a transparência, necessidade e finalidade.

Isso significa que a relação entre a agremiação esportiva e o titular de dados deve ser transparente, e demonstrar que o titular foi informado sobre o que está sendo feito com os seus dados tratados, mas não só isso.

As associações esportivas devem tratar somente os dados necessários para a finalidade que foram coletados, eliminando a coleta de dados desnecessários. Busca-se aqui que as empresas se limitem a tratar os dados que efetivamente precisam, reduzindo o risco de violação à privacidade de um titular de dados.

Soma-se a isso que as empresas sempre devem tratar um dado para uma finalidade específica, informada ao titular. A desvirtuação disso acarreta inclusive em penalidades ou até mesmo a interrupção do tratamento dos dados.

Mas não só de princípios é feita a lei. Existem hipóteses legais autorizadoras do tratamento de dados pessoais (diferenciados na lei entre dados pessoais e dados pessoais sensíveis) que autorizam, por exemplo, o tratamento de dados dos colaboradores.

Em contrapartida, para cumprimento da lei, os contratos com os jogadores precisarão de adequação, já que os dados utilizados no contrato necessitam de adequação à hipótese legal de tratamento, incluindo questões relativas a utilização da sua imagem em transmissões de TV e o uso publicitário pelo clube.

Isso não significa que as agremiações precisarão parar de tratar os dados ou que paralisarão suas atividades para adequação à lei. A questão é que esses tratamentos precisarão ser informados nos respectivos contratos.

A lei prevê 10 hipóteses legais de tratamento dos dados pessoais, dentre as quais uma das mais comentadas é o consentimento do titular. Nem sempre essa é a hipótese correta e mais adequada.

Imagine a situação, por exemplo, do marketing feito aos sócios dos clubes de futebol. Se cada clube precisar do consentimento dos torcedores, a operação e vendas podem se tornar inviáveis. Cada caso de tratamento de dados deverá ser analisado in loco para chegar-se à melhor opção de hipótese legal de tratamento.

Do mesmo modo, campanhas promocionais de obtenção de novos sócios não necessariamente precisarão de consentimento do torcedor. É possível que, no momento da operação de tratamento feita pelo clube, haja a informação clara e precisa da finalidade do tratamento e do motivo pelo qual o dado do titular está sendo coletado (se para completar o cadastro de aquisição de ingresso ou se para envio de e-mails marketing e campanhas de adesão ao sócio-torcedor).

A análise aprofundada caso a caso permite chegar à melhor alternativa, que não inviabilize o crescimento do clube ao passo que permite o cumprimento e adequação à legislação vigente.

A realidade é que a Lei Geral de Proteção de Dados é mais um regulamento ao qual os Clubes precisarão se adequar. Diferentemente da Lei Pelé, não há remendos para dar tratamento diferenciado aos clubes, que assim como as demais empresas constituídas no Brasil, deverão possuir mecanismos e ferramentas adequadas para cumprimento da Lei.