Parecer SCL nº 133/2021

Parecer SCL nº 133/2021

E-mail CTI datado de 26/07/2021

Assunto: Encaminhamento de termo de consentimento elaborado pela empresa contratada xxxxxxx (“xxxxxxx”) para a realização das eleições da CIPA – LGPD

Ementa: Consulta. Eleições de membros do Comissão Interna de Prevenção de Acidente para 2021-2022. Votação remota via internet. Minuta de termo de consentimento apresentada pela empresa contratada. Lei Federal 13.709/2018 (Lei Geral de Proteção de Dados). Consentimento que precisa ser informado, livre e inequívoco. Substituição pela minuta ora apresentada.

Senhora Procuradora Legislativa Supervisora,

I – RELATÓRIO

1. Cuida-se de consulta formulada pela CTI via mensagem eletrônica de 26/07/2021 acerca da adequação do termo de consentimento, cuja minuta vem em anexo, à Lei Federal 13.709/2018 – Lei Geral de Proteção de Dados (LGPD). Segundo consta, a empresa xxxxxxx foi contratada para viabilizar eleição remota, via internet, dos membros do Comissão Interna de Prevenção de Acidentes (CIPA), a ser realizada de 09 a 13/08/2021.

2. É o relatório. Opino.

II – FUNDAMENTAÇÃO

3. A LGPD, em vigor desde 18/09/2020, constitui marco regulatório brasileiro de privacidade e proteção de dados pessoais. Não obstante a matéria já fosse disciplinada setorialmente, o advento de um diploma legal uniforme, colocando-a num arcabouço principiológico comum, tem o condão de oferecer maior segurança jurídica, propiciando a inserção do Brasil no mercado global e, da mesma forma, conferindo proteção adequada a um direito cuja noção tem evoluído no tempo.

4. Se no nascedouro do Estado liberal a privacidade dizia respeito ao direito de deixar só, hoje, com a monetização de dados pessoais ocasionada pelo capitalismo de vigilância, a preocupação passa a se dirigir à autodeterminação informativa, isto é, a possibilidade do titular permitir a coleta e o compartilhamento de dados, o conhecimento do que está sendo feito com eles e a revogação do seu uso a qualquer momento. Restou-se, assim, consagrado como um dos princípios legais, a teor do art. 2^o, II, da lei.

5. O art. 7^o da LGPD estabelece as hipóteses cabíveis para tratamento de dados, dentre as quais “para cumprimento de obrigação legal” (inc. II). Era a que fundamentaria o uso de dados pessoais de servidores, independentemente de consentimento, se a própria Câmara Municipal de São Paulo realizasse eleições do CIPA, já que atenderia ao disposto no art. 219 da Lei Orgânica do Município de São Paulo e nos Atos 746/2001 e 1.104/2009. A gravíssima crise sanitária em curso exige, entretanto, votação remota, o que esta Administração não poderia fazer, a não ser contratar um terceiro para sua viabilização. Por certo, a realização deste intento pela xxxxxxx dependerá de tratamento de dados pessoais dos servidores, atraindo a incidência da hipótese legal “mediante o fornecimento de consentimento pelo titular” (inc. I).

6. Com efeito. Mesmo em ações propostas antes da entrada em vigor da LGPD, a jurisprudência já era cautelosa em relação à utilização de dados pessoais sem consentimento de seus titulares. O Supremo Tribunal Federal suspendeu a Medida Provisória 954/2020, que liberava o compartilhamento de dados por empresas de telefonia com o Instituto Brasileiro de Geografia e Estatística por não definir apropriadamente como e para que serão usados os dados coletados (ADI 6.387/DF-MC, Pleno, rel. Min. Rosa Weber, julgado em 07/05/2020). O Tribunal de Justiça de São Paulo, por entender que são utilizados dados anonimizados, garantiu a continuidade do sistema de monitoramento inteligente do governo paulista com as operadoras de telefonia móvel para gerar mapas de calor e medir isolamento social durante a pandemia (MS 2076403-78.2020.8.26.0000, Câm. D. Público, rel. Des. Cristina Zuchi, julgado em 25/11/2020).

7. No caso em apreço, a xxxxxxx poderá coletar dados pessoais de servidores ora diretamente, ora mediante compartilhamento pela Administração. A primeira hipótese consiste em tratamento de dados por alguém que ainda formará vínculo com titulares e a segunda, em tratamento de dados para fim diverso daquele que supunham seus titulares quando do seu fornecimento a esta Casa, razão pela qual, inexoravelmente, se apresenta imprescindível o consentimento. Quanto à forma de sua obtenção, algumas cautelas terão que ser observadas, pois a minuta do termo encaminhado para análise é similar às condições às quais toda pessoa tem que anuir para praticar diversos atos da vida civil e, portanto, insuficiente para o atendimento dos propósitos da LGPD. Nessa esteira, o Parecer ADM 68/2021 já elucidou as questões essenciais, cabendo-me acrescer alguns pontos.

8. O consentimento precisa ostentar três características. A primeira é o consentimento “informado”, isto é, o dever-direito de informar deve permitir ao titular “os elementos necessários para o início de um processo de tomada de decisão no que tange ao fluxo de seus dados”. Nesse sentido, a LGPD correlaciona o princípio da transparência (art. 6^o, VI) à prestação de informações claras, precisas e facilmente acessíveis, bem como comina de nulidade o consentimento obtido sem transparência (art. 9^o, § 1^o), objetivando a redução de assimetria de informação que circunda em todo o fluxo informacional. O segundo adjetivo é o “livre”, consistente na ideia de ação espontânea, fruto de um processo de escolha sem pressão entre outras ações possíveis. A terceira característica é que o consentimento deve ser “inequívoco”, ligada ao princípio da finalidade (art. 6^o, I), “segundo o qual toda atividade de tratamento de dados deve se basear em um propósito ‘específico e explícito’”. É por essa razão que se exige que a declaração de vontade dever ser direcionada, e não um “cheque em branco” (BIONI, Bruno Ricardo; LUCIANO, Maria. “O consentimento como processo: em busca do consentimento válido”. In: DONEDA, Danilo et. al. (coord.). Tratado de proteção de dados pessoais. Rio de Janeiro: Forense, 2021, pp. 153-154).

9. O termo de consentimento é um dos instrumentos de concretização da qualidade “informado”. O titular dos dados terá ciência, no mínimo, das seguintes informações: finalidade específica do tratamento, forma e duração do tratamento, identificação do controlador; contato do controlador, uso compartilhado de dados pelo controlador e a finalidade, responsabilidades dos agentes que realizarão o tratamento; e direitos do titular, com menção explícita aos direitos contidos no art. 18 (art. 9^o, caput). Esta Procuradoria já se debruçou sobre o assunto no Parecer SCL 65/2020, no qual se propôs uma minuta genérica do termo.

10. A CTI, entretanto, em mensagem eletrônica de 29/07/2021, complementando a mensagem anterior, esclareceu que dados serão compartilhados com a empresa contratada e especificou os dados necessários de eleitores e candidatos para a realização do pleito. Diante das especificidades, segue minuta específica que nesta oportunidade sugerimos:

TERMO DE CONSENTIMENTO PARA COMPARTILHAMENTO DE DADOS PESSOAIS

Através do presente instrumento, eu________________________________, inscrito (a) no CPF sob n°____________ e RF sob n^o _______________, aqui denominado (a) como TITULAR, venho por meio deste, autorizar a Câmara Municipal de São Paulo, aqui denominada como CONTROLADORA, inscrita no CNPJ sob n° __________- ____, o compartilhamento de meus dados pessoais com a R&F SOLUÇÕES EM TECNOLOGIA DA INFORMAÇÃO LTDA., inscrita no CNPJ sob n^o ________________, com sede na __________________, telefone _______________ e e-mail _________________ , aqui denominada EMPRESA, nos seguintes termos:

CLÁUSULA PRIMEIRA: A CONTROLADORA compartilhará com a EMPRESA os seguintes dados pessoais do TITULAR: nome completo, apelido (se candidato), número do Cadastro de Pessoas Físicas (CPF), número do Registro Funcional (RF), senha consistente em parte do CPF e endereço do Protocolo da Internet (IP) público a ser coletado pelo sistema.

CLÁUSULA SEGUNDA: O compartilhamento de dados pessoais, desde que sejam respeitados os princípios da boa-fé, finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização e prestação de contas, atenderá exclusivamente às seguintes finalidades: _______________________

CLÁUSULA TERCEIRA: A CONTROLADORA se responsabiliza por comunicar ao TITULAR eventual incidente de segurança que possa acarretar risco ou dano relevante, sem prejuízo das medidas de segurança, técnicas e administrativas suficientes a serem adotadas pela EMPRESA e das responsabilidades delas decorrentes, conforme artigo 48 da Lei n° 13.709/2018.

CLÁUSULA QUARTA: A CONTROLADORA se compromete a auxiliar a EMPRESA nas ações que assegurem ao TITULAR o acesso aos dados, bem como a correção de dados incompletos, inexatos ou desatualizados; a anonimização,  o bloqueio ou a eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto neste termo; e a eliminação dos dados pessoais tratados com o seu consentimento.

CLÁUSULA QUINTA: O TITULAR poderá revogar seu consentimento, a qualquer tempo, por e-mail ou por carta escrita, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação, conforme o artigo 8°, § 5°, da Lei n° 13.709/2018.

CLÁUSULA SEXTA: O TITULAR fica ciente de que a assinatura do presente termo é condição necessária para participação do pleito dos membros da Comissão de Interna de Prevenção de Acidentes para a gestão 2021-2022, seja como eleitor, seja como candidato, não lhe acarretando outras consequências em caso de recusa.

Local e Data: ______________, _____ de _______________ de ________

Assinatura do Titular

11. À evidência que a assinatura de um simples documento não esgota todas as possibilidade. Além de informado, o consentimento tem que ser livre e inequívoco, o que significa que ações têm que ser tomadas fora dos autos, de modo a assegurar que o titular de dados conheça efetivamente os riscos ao assentir com o tratamento de dados. A tomada de decisão, que se materializa com o termo de consentimento em foco, pressupõe um processo que há de ser respeitado. Conforme alertam os citados Bruno Ricardo Bioni e Maria Luciano (p. 155):

Uma das maneiras de extrair essa carga participativa maior do titular dos dados seria adotar mecanismos que chamassem mais a sua atenção. Deve haver um alerta que isole não só o dever-direito de informação, como também a declaração de vontade, colando-a à situação na qual é exigido o consentimento específico.

Isso vai muito além de cláusulas contratuais destacadas que já são mencionadas como uma forma de obter o consentimento trivial e não específico. Todo o processo de tomada de decisão é, (com o perdão do prolixo) específico e deve ser pontual. Da informação até o aceite do titular dado.

III – CONCLUSÃO

12. Pelo exposto, opina-se pela substituição da minuta de termo de consentimento em apreço pela proposta consubstanciada no item 10 deste parecer, a ser utilizada pela xxxxxxx como condição necessária para coleta e todas as operações necessárias ao tratamento de dados tendente exclusivamente às eleições dos membros do CIPA para 2021-2022.

Este é o parecer que submeto ao elevado descortino de V. Sª.

São Paulo, 29 de julho de 2021.

Renato Takashi Igarashi

Procurador Legislativo

OAB/SP 222.048