No atual contexto social, em meio ao avanço tecnológico constante, surgiu a necessidade de uma lei específica para regular o tratamento de dados pessoais, a fim de resguardar a privacidade, a intimidade e a autodeterminação de seus titulares, impondo regras sobre o tratamento de dados. Isso com a finalidade de proteger o direito à liberdade e à privacidade, sem, contudo, impedir o uso de dados em massa (big data) para o bem da coletividade.
Neste contexto, surgiu no Brasil a Lei Geral de Proteção de Dados (LGPD) – Lei n. 13.079/18 – aprovada em agosto de 2018, com inspiração na Lei Europeia (GDPR), e passou a ter vigência a partir de agosto de 2020. Mas, a proteção dos dados pessoais, na Legislação Brasileira, não é novidade pois a tutela desses dados já tinha fundamentos normativos no direito à vida privada, à intimidade e à personalidade, consagrados na Constituição Federal e no Código Civil, além da preocupação com essa questão já estar anunciada no Marco Civil da Internet (Lei 12.965/14). As novidades da LGPD são relativamente à criação de uma estrutura administrativa para regular e punir a coleta e o tratamento inadequados dos dados pessoais.
Quem se submete à LGPD?
Todas as pessoas naturais, todas as pessoas de direito privado e todas as pessoas de direito público são obrigadas a cumprir as regras da LGPD.
O que são dados pessoais?
São informações relacionadas à pessoa natural (pessoa física) identificada ou identificável, que se subdividem em: dados pessoais sensíveis, que se referem às informações sobre origem racial ou étnica, convicção religiosa, opinião política, saúde, vida sexual, dados genéticos ou biométricos; e dados anonimizados, que são todos os dados que, de maneira isolada, não permitem identificar o titular. Os dados pessoais são definidos como diretos e indiretos. Os dados diretos são aqueles que podem ser atribuídos a um indivíduo específico sem o uso de informações adicionais, como uma foto, DNA, impressão digital, etc., já os dados pessoais indiretos são aqueles que não podem ser atribuídos a um indivíduo específico sem informações adicionais, como por exemplo, endereço IP, o nome de uma rua, placa de carro, etc.
Quais são os direitos dos titulares dos dados?
O titular tem salvaguardado o direito de confirmar que seus dados estão com a empresa, bem como acessá-los quando pretender, saber se os dados foram compartilhados, solicitar a sua portabilidade, anonimizar, bloquear ou eliminar os dados, solicitar a correção de dados incompletos, inexatos ou desatualizados e revogar o consentimento para o tratamento dos dados.
Quem são os agentes de tratamento e encarregado?
- Controlador: pode ser pessoa natural ou jurídica, de direito público ou privado que toma as decisões do tratamento de dados pessoais, como determinar o objetivo do tratamento, implementar medidas que garantam a proteção dos dados, garantir que os operadores cumpram as regras e, em caso de violação dos dados, tem o dever de notificar a autoridade supervisora e os titulares dos dados.
- Operador: também pode ser pessoa natural ou jurídica, de direito público ou privado que realiza ou executa as atividades do tratamento de dados pessoais sob orientação de um controlador, de modo a garantir que as pessoas autorizadas façam o tratamento dos dados em confidencialidade, além de determinar aspectos técnicos do tratamento, por exemplo, os sistemas usados, as medidas de segurança, as formas de transferência, o armazenamento dos dados, etc.
- DPO (encarregado), indicado pelo controlador e pelo operador para realizar a comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados, além de ter o dever de monitorar a empresa para saber se está em conformidade com LGPD.
Quando os dados devem ser eliminados da empresa?
Os dados pessoais devem ser eliminados quando a finalidade para a qual foram submetidos tenha sido alcançada ou deixaram de ser necessários, no término do período de tratamento, quando o consentimento for revogado titular e por determinação de autoridade nacional quando ocorrer violação da Lei. No entanto, há algumas hipóteses onde é autorizada a conservação dos dados, por exemplo, em razão de cumprimento de obrigação legal ou regulatória pelo controlador, para estudo de órgão de pesquisa, transferência a terceiro (nos casos que não violam a lei) e para uso exclusivo do controlador.
Quais são as penalidades aplicáveis em caso de descumprimento da LGPD e quais as medidas devem ser tomadas?
A legislação brasileira já previa penalidades aplicáveis em caso de inobservância do tratamento correto dos dados pessoais. No entanto, a LGPD trouxe, além daquelas, sanções administrativas que entrarão em vigor a partir de 1º de agosto de 2021, como a advertência, multa simples, multa diária, divulgação da infração e o bloqueio, suspensão ou eliminação dos dados pessoais a que se refere a infração.
Em casos de ocorrência do vazamento de dados pessoais, a comunicação do incidente deve ser realizada em prazo razoável, conforme definido pela autoridade nacional, e também deve haver informação aos titulares afetados, descrevendo a natureza dos dados pessoais envolvidos.
Quais as vantagens da empresa em aplicar as regras da LGPD e como iniciar o procedimento?
Quando a empresa se adequa à LGPD, além de torná-la mais segura com relação aos dados coletados e armazenados e de diminuir consideravelmente os riscos de vazamento de dados, o relacionamento com o cliente se torna mais transparente, contribuindo para uma melhor experiência na relação com as pessoas, sejam elas clientes ou não, refletindo positivamente para os negócios.
Diante disso, com a finalidade de adequação das empresas à LGPD, existem empresas especializadas em implantação do projeto, com mapeamento, rotinas, criação de meios de proteção físicos e virtuais, etc. Todo este processo deve ser acompanhado e orientado por advogados devidamente capacitados para as regras e implantação das premissas da Lei.
Para saber mais sobre a Lei Geral de Proteção de Dados, clique aqui.
Por Camila Brun, em 28.05.2021