A LGPD – Lei Geral de Proteção de Dados (Lei nº. 13.709/2018), oriunda da PL 53/2018 é um grande marco no cenário brasileiro, todavia geradora de dúvidas quanto a sua implementação, essencialidade e a quem se destina, bem como acerca de quais interesses podem se encontrar por trás de sua implementação.
Muito se discute se a implementação desta normativa irá ser de fato efetiva, tendo em vista aplicação de medidas sancionatórias em caso de descumprimento, pois em seu escopo a lei dispõe quanto aplicabilidade de multa em caso de vazamento de dados.
A mencionada Lei busca a garantia de proteção da pessoa humana, atrelada aos Direitos Humanos, trazendo em seu escopo princípios para salvaguarda de direitos, além de controles técnicos que visem à segurança das informações do indivíduo.
O indivíduo é detentor de direitos estabelecidos em diversas normas legais, as quais lhe conferem direitos essenciais, mediante o desenvolvimento tecnológico e sua utilização em larga escala faz-se necessário assegurar que as informações do usuário em meios virtuais possam ser protegidas em busca de maior segurança.
Diante do grande fluxo de informação que se encontram circulando na rede virtual e em data base de diversas empresas, tais como: endereço, nome, telefone, dados de seus documentos, informações de preferência de consumo, opiniões e preferências político ou religiosas a LGPD irá classificar as informações em dados pessoais e sensíveis, os quais possuem normas técnicas para disciplinar quanto ao processamento dos mesmos.
A classificação dos dados pode ser subdivida em Dados Pessoais, ou seja, informação relacionada à pessoa identificada - quando o dado estiver diretamente ligado a um indivíduo específico - ou identificável - quando, embora não vinculado diretamente, o dado permita descobrir a identidade de alguém a partir de sua análise, em conjunto com outras informações. Alguns exemplos: nome, sobrenome, data de nascimento, documentos pessoais (como CPF, RG, CNH, Carteira de Trabalho, passaporte e título de eleitor), endereço residencial ou comercial, telefone, e-mail, cookies e endereço IP; Dados Sensíveis, informações que podem ser especificados em: “origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, saúde, vida sexual, genética ou biométrica”. Para os dados sensíveis, o consentimento deve ser destacado.
A regra é a mesma para o tratamento de dados de crianças e adolescentes, sendo que um dos pais ou responsável legal deverá conceder autorização, em conformidade ao ECA (Estatuto da Criança e Adolescente - Lei 8.069/1990).
O intuito em classificar os dados, busca trazer maior regulação e controle ao titular dos dados, o qual poderá requisitar que suas informações venham a ser removidas de Base de dados de uma Empresa, em consonância ao estabelecido na Norma Legal.
O tratamento é constituído da obtenção dos dados, o qual poderá ser coleta, classificação, armazenamento, transferência, envio para terceiros, eliminação e qualquer tipo de utilização que se faça deles.
Observa-se que, o detentor dos dados é possuidor de direitos e poderá mediante os parâmetros estabelecidos ter acesso as suas informações, possibilitando ao mesmo clareza quanto ao tratamento dos dados, retificação dos dados, os restringir, cancelar ou excluir dados desnecessários e ainda efetuar a portabilidade de seus dados.
Todavia, apesar do titular possuir maior controle das informações as quais deverão ser tratadas por toda pessoa jurídica, sem distinção, mediante consentimento do mesmo incidirá exceções ao consentimento expresso do detentor, sendo listados alguns pontos, a saber:
Para a execução de políticas públicas (pela Anatel e pelo MCTIC), bem como para a realização de estudos por órgãos de pesquisa (IBGE, por exemplo, atualmente não requisitam dados pessoais, caso ocorra o provedor estará dispensado).
-
Para cumprimento de obrigação legal ou regulatória do Controlador: é o caso do armazenamento dos registros de acesso a aplicações de internet pelo provedor de aplicações, como determinado pelo Marco Civil da Internet, bem como pelo armazenamento dos registros de conexão pelo provedor de acesso à internet, ou ainda o armazenamento de ligações telefônicas dos clientes para a central de atendimento do provedor.
Para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual é parte o próprio titular: os provedores trabalham, em geral, com contratos de adesão com os clientes e devem inserir a previsão expressa de tratamento dos dados pessoais, visto tratar de condição essencial para a prestação do serviço. Esse cuidado no contrato de prestação de serviços é medida essencial para a LGPD, ainda mais se considerarmos o acesso e tratamento ao IP do cliente.
Tratamento no exercício regular de direitos em processo judicial, administrativo ou arbitral: o tratamento de dados específico para o cumprimento de atividade de investigação policial ou cumprimento de ordem judicial para repressão de ilícito penal não se submetem a LGPD.
-
Em caso de legítimo interesse do controlador ou de terceiro, desde que não se sobreponham aos direitos e liberdades fundamentais dos titulares dos dados. Pode-se citar como exemplo, compartilhamento com empresas terceiras para fins de prevenção à fraude, marketing direto, proteção da integridade física do titular, dentre outras possibilidades. O legítimo interesse da empresa, nesse caso, atende uma finalidade que você já espera, estando dentro das suas expectativas e promovendo um serviço em seu benefício, ao mesmo tempo em que serve de apoio para a atividade da empresa.
Tratamento para proteção de crédito: o tratamento de dados para que o provedor se certifique do crédito do cliente e da cobrança de uma dívida, por exemplo, é uma das possibilidades expressas da LGPD. Assim, por exemplo, o envio de dados de cobrança para uma empresa terceirizada não depende de consentimento prévio do cliente.
A LGPD dispõe quanto ao tratamento dos dados e regulações especificas, estabelecendo critérios que devem ser seguidos por toda pessoa jurídica que irá efetuar o processamento dos dados, os quais devem ser claros, precisos e seguros. A implementação deste dispositivo jurídico é gerador de maior segurança em prestação de serviços, na circulação de informação, em estabelecer os parâmetros na busca por segurança, a privacidade dos usuários em rede deve ser respeitada.
Importante destacar que a LGPD é uma lei similar a GDPR - General Data Protection Regulation promulgada pela União Européia, a qual após sua implementação gerou um efeito cascata quanto a adequações de normas de teor similar ao redor do mundo, no Brasil observa-se um rastro de regulações em diversos dispositivos legais tratando do tema, sendo certo que era necessário o nascimento da LGPD o qual ocorreu em 2018.
Faz-se necessário adequar os mecanismos de armazenamento e tratamento de dados em Empresas, de modo eficiente, em consonância ao dispositivo normativo, pautando-se na Política de Compliance da instituição para que o cumprimento da lei ocorra de modo eficiente e não mera simulação, devendo existir um compromisso real pelo detentor dos dados de que atuará com responsabilidade.
Menciona-se ainda a importante figura da ANPD – Agência nacional de Proteção de Dados, a qual atuará orientando, disciplinando o tema, fiscalizando e assegurando o cumprimento da LGPD, ainda que por medidas punitivas a fim de trazer a segurança pretendida.
Inicia-se no Brasil uma jornada de adequações, podemos observar o seu lastro por meio da legislação, na busca da sociedade por transparência, nota-se empresas criando políticas cada vez mais sérias, efetivas mediante a busca por integridade, a criação de uma Política de Privacidade deve estar atrelada a segmentação dos procedimentos e reformulação de condutas pautadas em ética, confiabilidade, transparência e em consonância a norma legal, em uma Política de Compliance, baseado nestes princípios uma empresa com compromisso com sua missão, visão e valores irá desempenhar da melhor forma sua atuação e ainda gerar um impacto em sua rede de atuação.