O que é LGPD? 

É a Lei Geral de Proteção de Dados Pessoais, sancionada em 2018 e em vigor desde 2020. A Lei tem o objetivo de proteger os direitos fundamentais de liberdade e de privacidade relacionados à esfera informacional do cidadão, diante dos recorrentes vazamentos de dados que geram impactos sobre os indivíduos titulares de dados pessoais.

A referida legislação introduziu uma série de direitos e garantias que asseguram a transparência e a segurança da informação quanto ao tratamento dos dados e confere protagonismo à pessoa natural titular quanto ao seu uso.

A Origem da LGPD

A LGPD teve diversas influências em sua concepção.  Uma das maiores influências é a General Data Protection Regulation (GDPR) ou o Regulamento Geral sobre a Proteção de Dados. Trata-se de lei europeia em vigor desde 2018 que, assim como a LGPD, determina uma série de princípios que devem ser considerados quando do tratamento de dados pessoais e estabelece direitos dos titulares de dados (isto é, pessoas que tenham seus dados tratados). A GDPR é considerada uma referência de regulação do assunto, sendo uma das leias mais abrangentes e completas no tratamento da privacidade e segurança de dados.

A GDPR e é mais uma lei na longa tradição europeia de regulamentação do tratamento de dados pessoais (a primeira lei sobre o tema surgiu em 1970 na Alemanha), e decorre de discussões idealizadas na União Europeia desde 2012, tendo sido sancionada em 2016. A lei substituiu a Diretiva de Proteção de Dados Pessoais, de 1995.

A proteção de dados no Brasil:  Marco Civil da Internet

Em 2013, o ex-funcionário da CIA, Edward Snowden, divulgou para o mundo o uso mal-intencionado pelos EUA de dados pessoais, por meio de um esquema de espionagem.

Diante da grande repercussão mundial do caso, em 2014 no Brasil houve a criação do Marco Civil da Internet, Lei nº 12.965/2014 que estabelece princípios, garantias, direitos e deveres para o uso da internet no Brasil e determina as diretrizes para atuação da União, dos Estados, do Distrito Federal e dos Municípios em relação à matéria.

Todavia, a questão da proteção de dados pessoais já tinha importância em meados de 2010, quando ocorreu a primeira consulta pública, surgindo em decorrência algumas leis como a Lei de Acesso à Informação – Lei nº 12.527/2011, Lei Carolina Dieckmann – Lei nº 12.737/2012.

O Marco Civil da Internet, apesar de regulamentar o direito à privacidade na internet, não envolveu com exatidão a tutela dos dados pessoais da pessoa natural, havendo, então, uma segunda consulta pública em 2015, que gerou novos projetos de leis sobre o tema.

Perante mais um incidente com vazamento de dados com repercussão mundial em 2018, dessa vez com a Cambrigde Analytica e a entrada em vigor da GDPR, houve reflexo direto para que a LGPD fosse sancionada no mesmo ano, depois de passar por um longo processo de criação e debates entre diversos setores da sociedade.

A LGPD já está em vigor? 

Apesar de a LGPD ter sido publicada em 14 de agosto de 2018, sua entrada em vigor estava prevista para 18 (dezoito meses) após a sua publicação, para que as empresas e instituições pudessem se adaptar às exigências impostas pela lei.

Entretanto, a Lei nº 13.853/2019 acabou prorrogando por mais 6 (seis) meses a sua entrada em vigor, ou seja, em agosto de 2020.

No meio desse tempo houve aprovação da Medida Provisória nº 959/2020, que buscava prorrogar a entrada em vigor para maio de 2021, mas quando a Medida Provisória se transformou na Lei nº 14.058/2020 em 17 de setembro de 2020, o artigo que previa a prorrogação foi excluído, passando a LGPD ter vigência imediata em 18 de setembro de 2020.

Dessa forma, a LGPD encontra-se em vigor, incluindo as normas relativas à imposição de sanções administrativas, que entraram em vigor em 1º de agosto de 2021, por meio da Lei nº 14.010/2020.

Entenda alguns conceitos da lei

1. Dados pessoaisDe acordo com o artigo 5º, inciso I, da LGPD dados pessoais são todas as informações relacionadas à pessoa natural identificada ou que possa identificá-la, tais como: RG, CPF, gênero, data e local de nascimento, filiação, telefone, endereço residencial, dados bancários, localização via GPS, retrato em fotografia, prontuário de saúde, renda, histórico de pagamentos, hábitos de consumo, preferências de lazer, endereço de IP (Protocolo da Internet) e cookies.

2. Tratamento de dadosO artigo 5º, inciso, X, estabelece que tratamento de dados é toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

3. Bases legaisPara que o tratamento de dados seja legitimado, a LGPD relaciona 10 hipóteses que autorizam o controlador ao tratamento de dados, são elas as seguintes bases legais:

• Consentimento do Titular: consiste na manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.É a base legal que permite que as empresas tratem os dados dos titulares mediante a sua autorização. Deve ser fornecido por escrito ou outro meio que demonstre a permissão do titular para o tratamento de dados.A ressalva feita a esta base legal é de que o titular pode revogar o consentimento anteriormente dado a qualquer tempo, por meio de manifestação expressa, devendo o controlador atender a sua requisição de imediato.
• Cumprimento de obrigação legal ou regulatória pelo controlador: o tratamento de dados é necessário para o cumprimento de determinação prevista em lei, não havendo necessidade do consentimento do titular.Essa hipótese busca evitar conflitos entre a LGPD e outras legislações vigentes no ordenamento jurídico, trazendo dessa maneira maior segurança jurídica à atividade de tratamento de dados.É o caso do cumprimento de leis trabalhistas que exigem o envio de informações de funcionários e até o armazenamento dos dados por longos períodos.
• Políticas Públicas: garante ao Poder Público o tratamento de dados pessoais quando for necessário para a implementação de políticas públicas previstas em leis, regulamentos, ou, previstas em contratos e convênios, como o caso de programas de assistência social e transferência de renda.Permite à Administração Pública demandar tratamento de dados pessoais dos envolvidos, sem a necessidade do consentimento do titular. Neste caso, a Administração Pública é obrigada a fornecer ao titular todas as informações pertinentes sobre como os seus dados são tratados.

• Realização de Estudos por Órgãos de Pesquisa: a coleta de dados é autorizada com base nessa hipótese para fins de pesquisas científicas, sociais, etc., como o IBGE e IPEA.No entanto, os dados devem ser sempre que possível armazenados anonimizados garantido a privacidade dos seus titulares, para que não seja possível a associação direta ou indireta entre o dado e o indivíduo.

• Procedimentos preliminares ou Execução de Contrato que o Titular faça parte: há permissão de tratamento de dados, diante da necessidade de elaboração ou execução de um contrato que o titular do dado ingresso como parte, como ocorre na formalização de um contrato de aluguel, de contratação profissional, entre outras hipóteses.O tratamento com fundamento nesta base legal deverá ser a pedido do titular, porém diferentemente do que acontece com o consentimento, não pode ter sua autorização revogada a qualquer tempo, permanecendo enquanto durar a vigência do contrato.

• Exercício Regular de Direito: quando o tratamento é necessário para o exercício de um direito, como no caso do ajuizamento de uma ação em que sejam necessários dados dos envolvidos para, por exemplo, a qualificação das partes, ou para produção de provas no exercício do contraditório e da ampla defesa, não havendo que se falar em necessidade de consentimento da parte contrário.

• Proteção da vida: quando o tratamento foi necessário para a proteção da vida ou da integridade física do titular do dado ou de terceiros, há essa autorização legal. É o que ocorre com o tratamento de dados no atendimento do SAMU.

• Tutela da Saúde: profissionais da saúde, autoridade sanitária ou de serviços à saúde estão autorizados a realizar o tratamento de dados quando necessário para a realização de suas atividades de proteção da saúde. É o que ocorre com campanhas de vacinação, envios de resultados de exames, entre outros.

• Legítimo interesse do Controlador: neste caso, o Controlador deve demonstrar inequivocamente que o seu interesse no tratamento de dados é legítimo, bem como não viola a LGPD e os direitos dos titulares que tiverem seus dados tratados.O legítimo interesse pode ser usado, por exemplo, em situações em que o tratamento de dados for necessário para apoio e promoção das atividades do controlador, ou para a proteção do exercício regular dos direitos do titular ou prestação de serviços que o beneficiem, sempre respeitando os seus direitos e liberdades individuais.

• Proteção ao Crédito: é uma proteção dos credores contra titulares de dados pessoais que tentem se esquivar do pagamento de dívidas em seu nome, como, por exemplo, tentar excluir a inscrição do seu nome em órgãos de restrição de crédito, sob a alegação de violação da sua privacidade e tutela da LGPD.

Os princípios da LGPD

A LGPD no artigo 6º estabelece, além do princípio geral da boa-fé (cuja incidência ocorre em toda e qualquer relação jurídica do ordenamento brasileiro), mais 10 princípios que servem como diretrizes para as atividades de tratamento de dados pessoais.

1. Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades.O tratamento de dados pessoais deve ter um propósito bem determinado que justifique a necessidade do uso dos dados pessoais do titular. Finalidades genéricas ou indeterminadas podem acarretar a nulidade do consentimento.Por exemplo, se uma pessoa fornece seu endereço de email a uma empresa apenas para o envio de uma fatura, a empresa não pode usar essa informação para enviar promoções e ofertas de serviços. Quando há alteração na finalidade do tratamento, é preciso um novo consentimento do titular dos dados.

2. Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento.A coleta de dados deve ser compatível com a atividade fim do tratamento, de acordo com a sua destinação determinada na finalidade.Vamos supor que o Censo Demográfico, que tem por objetivo contar os habitantes do território nacional, identificar suas características e revelar como vivem os brasileiros (contexto do tratamento), produzindo informações imprescindíveis para a definição de políticas públicas (finalidade do tratamento), passe a usar essas informações para fins comerciais. Neste caso, a sua conduta estaria em desacordo com o princípio da adequação.

3. Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados.A coleta de dados deve ser feita de maneira pertinente, proporcional e restrita à finalidade pretendida com o tratamento, buscando minimizar a coleta de dados pelos controladores somente àquela informação necessária para a prestação do serviço ou fornecimento do produto.Existem várias situações em que são coletadas informações que são coletadas demasiadamente, como o caso de formulários de cadastro que muitas vezes solicitam dados (inclusive dados pessoais sensíveis) do titular que em nada importam para a ocasião.

4. Livre Acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais.Este princípio possibilita ao titular o alcance às informações sobre o tratamento de seus dados de maneira fácil e gratuita, inclusive com a possibilidade de obtenção de uma cópia documentada, cuja solicitação deve ser direcionada –ao Controlador.

5. Qualidade dos Dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento.Este princípio está relacionado com o direito do titular de ter os seus dados corrigidos ou atualizados, uma vez verificado algum erro.

6. Transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial.O titular dos dados pessoais tem o direito de obter todas as informações relacionadas ao tratamento de dados,  de forma clara e compreensível, para que o consentimento dado não esteja viciado.

7. Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.Devem ser utilizados todos os instrumentos e ferramentas adequadas e atualizadas disponíveis visando à segurança da informação, durante todo o tempo que o controlador permanecer com os dados do titular armazenados.Importante ressaltar que assim como o meio digital passa por uma evolução exponencial, a atuação de pessoas mal-intencionadas desenvolvendo meios capazes de colocar em risco os dados também acompanha esse desenvolvimento.A Autoridade Nacional de Proteção de Dados poderá estipular normas de padrões técnicos da segurança da informação a serem adotados pelos controladores.

8. Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.Os agentes de tratamento devem se preocupar em prever todos os cenários possíveis e se precaver de todos os riscos diante de tratamento indevido de dados, na busca de garantir que nenhum incidente futuro ocorra por causa da falta de adoção de medidas prévias.A importância da prevenção consubstancia-se no fato que o meio digital é favorável para uma propagação veloz e descontrolada, o que implica em danos de enormes proporções, muitas vezes irreversíveis.

9. Não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos.

10. Responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.Os agentes de tratamento devem documentar todas as suas condutas a fim de demonstrar o cumprimento eficaz das diretrizes impostas pela LGPD, cuja fiscalização fica à cargo da ANDP.Em caso de descumprimento às normas da legislação, os agentes de tratamento estão sujeitos à responsabilização, por meio de condenação à obrigação de reparação de dados ao titular dos dados lesados, bem como pela aplicação das sanções previstas na própria LGPD.

O conteúdo apresentado está de acordo com estratégias de SEO, feito para ranqueamento no Google. O conteúdo será complementado com outras publicações.