Resumo: A Lei Geral de Proteção de Dados (LGPD) surge como uma resposta à necessidade de manter seguras as informações pessoais de pessoas naturais no Brasil. Este artigo tem por objetivo analisar as origens, implantação, conceitos, princípios, fundamentos e aplicação da Lei 13.709/18, fazendo um apanhado de seus artigos. O estudo se inicia com a exposição da necessidade de uma lei específica para tutelar o direito de privacidade do indivíduo, as falhas tentativas de proteção anteriores e a influência da GDPR. Na sequência, a explanação de conceitos básicos, fundamentos e princípios norteadores, seguido da apresentação da Autoridade Nacional de Proteção de Dados (ANPD) com algumas de suas competências. Por fim, realça o compromisso educativo da lei, afirmando que, apesar de estabelecer sanções, seu objetivo principal não é meramente punitivo.
Palavras-chave: Privacidade, Direitos Fundamentais, Proteção de Dados Pessoais. Legislação Brasileira. Direitos Fundamentais. LGPD. Histórico. GDPR.
1. INTRODUÇÃO
Com a chegada da era digital, todo nosso cotidiano foi reorganizado, mudando totalmente a forma com que trocamos informações. Desta forma, uma grande quantidade de dados pessoais começou a circular pelo mundo todo, gerando uma preocupação quanto a segurança e confiança no mundo virtual. Sendo assim, se viu necessário adotar medidas para manter a privacidade e a proteção desses dados, levando em consideração principalmente o uso indevido por parte de empresas e o vazamento de informações pessoais que era algo recorrente.
Influenciada pelo Regulamento Geral de Proteção de Dados (GDPR) criado pela União Europeia em 2018, entrou em vigor em 18 de setembro de 2020 a Lei nº 13.709/2018 conhecida como Lei Geral de Proteção de Dados (LGPD), a qual inspirada em princípios fundamentais como finalidade, adequação, não discriminação e transparência, marcou a história da proteção de dados no Brasil e regulou a coleta, armazenamento, tratamento e distribuição destes, por parte de empresas e instituições nacionais e internacionais. (BARTOLOMEO, 2021)
Por conseguinte, este artigo visa apresentar a lei de forma aprofundada por meio da legislação vigente, doutrina e publicações, abrangendo seus conceitos, princípios e aplicações na proteção dos direitos do indivíduo e na exigência quanto aos deveres impelidos as instituições no trato das informações.
A relevância do tema se justifica diante do contexto atual em que a informação se tornou um dos ativos mais valiosos da sociedade digital. A crescente digitalização das relações pessoais, profissionais e institucionais intensificou o volume e a velocidade do tratamento de dados pessoais, tornando urgente a adoção de normas que assegurem a privacidade, a liberdade e a dignidade dos indivíduos. A LGPD surge, portanto, como uma ferramenta essencial para o fortalecimento da cidadania e da confiança nas interações digitais, contribuindo não apenas para a proteção contra abusos, mas também para a construção de uma cultura de responsabilidade e ética no uso das informações pessoais.
2. CONCEITOS, FUNDAMENTOS E HISTÓRICO DA LGPD
A Lei geral de Proteção de Dados é uma lei que foi criada para proteger o titular de dados no ambiente virtual, de forma a garantir que a privacidade e intimidade, considerados direitos garantidos sejam tutelados. A legislação protege somente dados pessoais de pessoas naturais, e não diz respeito as empresas ou instituições públicas ou privadas, mas sim dos dados que pessoas jurídicas possuem das pessoas físicas, equilibrando o desenvolvimento econômico e o direito à privacidade do indivíduo.
A implementação da LGPD vai além da simples adequação jurídica ou da criação de documentos formais. Segundo Garcia (2020), trata-se de um processo contínuo de transformação da cultura organizacional, que demanda comprometimento das lideranças, capacitação de equipes e desenvolvimento de políticas internas que incorporem os princípios da lei no dia a dia das instituições. A proteção de dados deve ser compreendida como um valor estratégico, essencial para a construção de confiança com os titulares e para a reputação das organizações em um mercado cada vez mais atento à conformidade digital.
2.1. Tipos de Dados e Agentes de Tratamento
Presentes no artigo 5º, os conceitos estão explicitados de forma clara e concisa em seus 19 incisos. No que diz respeito aos dados, são definidos como informações pessoais capazes de identificar o indivíduo, inclusive no meio digital, sendo divididos em dados pessoais, os quais compreendem o básico para a identificação como o nome, e-mail, CPF e endereço. Já os dados sensíveis vão mais além, abarcando informações mais profundas como religião, posicionamento político e orientação sexual, devendo receber mais atenção no seu tratamento, a fim de evitar que o indivíduo seja prejudicado em sua vida pessoal e até profissional, caso sejam perdidos. Existem também os dados anonimizados, que são atribuídos aos indivíduos que não podem ser identificados, por isso são usados termos técnicos para se referir a eles. Todos os dados do titular, a pessoa natural a quem se referem, são armazenados no banco de dados. (BRASIL, 2018a)
Através do consentimento, o titular permite a utilização de seus dados para determinado fim previamente apresentado pelos agentes de tratamento, sendo eles o controlador, que define qual o destino dos dados, e o operador que executa a decisão do controlador. Podendo ainda o titular pedir o bloqueio ou eliminação de tudo o que forneceu a qualquer tempo, através da autodeterminação que lhe é de direito.
Garcia (2020) destaca que uma das etapas fundamentais na adequação à LGPD é a definição clara da estrutura de governança de dados, com a nomeação do encarregado pelo tratamento de dados (Data Protection Officer – DPO). Este profissional atua como elo entre a organização, os titulares e a Autoridade Nacional de Proteção de Dados (ANPD), sendo responsável por orientar, fiscalizar e garantir a conformidade. O autor ressalta que, para ser eficaz, o DPO precisa ter autonomia, acesso direto à alta gestão e conhecimentos multidisciplinares, envolvendo direito, tecnologia da informação e gestão de riscos.
2.2. Histórico da LGPD
Enquanto ainda não existia de fato a LGPD, onde os direitos e deveres estão concentrados, o controle dos dados não era feito de forma específica, sendo usados fragmentos do Código Civil, da Constituição Federal, da Lei de Acesso à Informação, do código de Defesa do Consumidor, entre outros, o que não se mostrava eficiente dado aos inúmeros vazamentos de informações nas redes, o que evidenciava um anseio geral na construção de um sistema de segurança mais completo. (REY ABOGADO, [20--?]).
Com essa necessidade de aprimorar a proteção, e inspirada na GDPR da Europa, nasceu a Lei que veio para revolucionar tudo o que diz respeito a segurança da privacidade, principalmente no meio digital, onde ocorrem a maioria das comunicações e transações atualmente. (MÜLLER; ROSA, 2020)
Como base para a criação da lei tem se a GDPR (Regulamento Geral sobre a Proteção de Dados), idealizada pela União Europeia, que influenciou a elaboração de uma lei própria no Brasil, visto que com a modernização dos meios de comunicação devido ao crescente avanço tecnológico nos últimos anos, houve uma grande exposição da população digitalmente de forma a se tornar um problema.
Anteriormente, o Marco Civil da Internet veio como uma forma de agravar condutas praticadas no meio digital que já eram regulamentadas na Legislação Brasileira como crime, visto que muitos usuários tem o ambiente virtual como um mundo totalmente alheio ao físico, e não como uma extensão sua. O que se mostrou um presságio, uma forma de demonstrar que a preocupação com a insuficiência da segurança na internet já existia, mesmo que não especificamente para o fim de resguardar entre outros, o direito da privacidade do titular.
Hoffmann-Riem (2020) observa que o surgimento do Direito Digital não representa apenas a aplicação de normas jurídicas ao ambiente virtual, mas sim uma reformulação paradigmática da própria ciência jurídica. O autor defende que o avanço tecnológico impôs uma reorganização das categorias tradicionais do Direito, exigindo novos critérios de interpretação e aplicação normativa. No caso da LGPD, percebe-se esse fenômeno na forma como os direitos fundamentais à privacidade e à autodeterminação informativa são reinterpretados diante da lógica algorítmica e do poder das plataformas digitais.
Quanto a seus fundamentos, estão dispostos no artigo 2º, tais como o respeito à privacidade onde o agente de tratamento mesmo em posse de um grande volume de dados do titular, em sua maioria online atualmente, não pode fazer uso de nenhum deles sem autorização para determinado fim, preservando a intimidade.
Já a autodeterminação informativa, diz sobre o direito do titular de saber quais dados estão em poder do agente de tratamento, para que fim serão utilizados e com quem poderão ser compartilhados, o que esbarra no fundamento da liberdade de expressão, de informação, de comunicação e de opinião, na questão da impossibilidade de os dados serem utilizados contra o titular, de forma a censurá-lo ou prejudica-lo de alguma forma, sendo este livre tanto para expor seu ponto de vista ou decidir sobre a coleta de seus dados pessoais, tendo sua intimidade, honra e imagem invioláveis.
2.3. Sobre a ANPD
Ao longo de seus 65 artigos estão dispostos desde seus fundamentos, até a criação da ANPD (Agência Nacional de Proteção de Dados), uma autarquia federal, responsável por fiscalizar e se fazer cumprir a lei de proteção em todo o Brasil tendo autonomia técnica e decisória. (MODELO INICIAL, 2025)
Entre suas competências, todas listados no artigo 55-J estão: “I - zelar pela proteção dos dados pessoais, nos termos da legislação; IV - fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação; VI - promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança;”. (BRASIL, 2018a).
3. PRINCÍPIOS, BASES LEGAIS E REQUISITOS DE TRATAMENTO
Os princípios são a base, e norteiam a Lei de forma a fazer valer todos os direitos tutelados. Dentre eles estão o princípio da finalidade, que versa sobre a obrigatoriedade de informar onde serão usados os dados coletados, ou seja, qual é o objetivo de solicitá-los; Da Adequação: no qual determina que as informações devem ser usadas de forma compatível ao objetivo apresentado na finalidade; Da Necessidade: Só serão coletadas as informações relevantes para o objetivo desejado; Da Não descriminação: O uso dos dados não pode levar a segregação do titular ou a qualquer tipo de distinção em qualquer área de sua vida devido a suas escolhas pessoais.
3.1. Requisitos de Tratamento
Como forma de regular a proteção dada ao titular, o artigo 7 da referida lei, elenca em um rol taxativo, as condições para que se possa fazer o uso dos dados, começando pelo consentimento, quando online, as empresas se utilizam de botões nos sites com algum tipo de termo com opções para permitir determinadas ações, e assim documentar a liberação dada pelo titular para o uso de seus dados, porém, em alguns casos é prescindível de autorização, como para o cumprimento de obrigação legal ou regulatória, previsto no inciso II. Um exemplo é publicação de nome, local de trabalho e valor de salário de funcionários públicos no portal da transparência do governo, que é regulado inclusive pela Lei de Acesso à Informação, dada a função pública que exercem e pagamento com dinheiro público. (BRASIL, 2018a)
Pelo fato de estarem envolvidas políticas públicas, bancos por exemplo, podem compartilhar informações dos clientes com a receita federal, como certas movimentações de dinheiro realizadas. Também é comum lembrar dos hospitais ligados a rede pública, os quais podem compartilhar seu banco de dados com o SUS e com seus profissionais para tratamento adequado do paciente. Também é permitido o compartilhamento em pesquisas relacionadas a saúde, sem fins lucrativos e atendendo a serviço público. (BARTOLOMEO, 2021)
Ainda no que tange a saúde no caso de acidente por exemplo, uma testemunha que visualizou um indivíduo em situação de risco e se prontificou a ajudar o levando para receber tratamento médico no hospital, pode fazer uso dos dados encontrados para fazer o cadastramento da vítima no banco de dados do hospital sem necessidade de anuência do titular acidentado.
Já em hipótese de execução de contrato, caso o titular se interesse em um financiamento por exemplo, todos os dados necessários serão requisitados preliminarmente para uma análise de crédito, e nesse processo o titular ao ceder seu nome, documentos e endereço a empresa, concorda tacitamente com o uso destes mesmo após a aprovação do crédito na fase de execução do contrato.
Uma curiosidade presente no inciso X é a proteção ao crédito, que pode significar em caso de inadimplência do titular, o uso de números telefônicos e e-mails para cobranças de dívida por parte de uma determinada empresa, o que justifica a não necessidade de sinalização positiva por parte deste, já que não é um serviço desejado.
Em suma, só podem ser considerados válidos os interesses que respeitam todos os direitos garantidos ao titular, para que motivos como o lucro não sejam motivação para que sejam anulados.
Ainda conforme Garcia (2020), a adequação à LGPD não deve ser vista apenas como uma obrigação legal imposta às organizações, mas como uma oportunidade para aprimorar os processos internos, minimizar riscos e agregar valor à imagem institucional. Ao mapear fluxos de dados e aplicar os princípios da lei, as empresas se tornam mais preparadas para enfrentar crises, como vazamentos de dados, e mais competitivas em ambientes regulatórios complexos. O autor reforça que a conformidade é um diferencial de mercado que evidencia respeito aos direitos fundamentais dos titulares e responsabilidade social corporativa.
4. VAZAMENTO DE DADOS, RESPONSABILIDADE CIVIL E FISCALIZAÇÃO
4.1. Sanções Administrativas
Ao infringir a lei, seja pelo vazamento de dados ou até mesmo utilizando-os para fim diverso ao inicialmente apresentado ao titular, o agente de tratamento poderá sofrer sanções, como multa simples, multa diária, advertência, bloqueio dos dados pessoais, publicização da infração e eliminação dos dados pessoais, podendo ser aplicadas individual ou conjuntamente em desfavor dos agentes de tratamento, ou seja, o controlador e o operador, por meio de processo administrativo junto a autoridade nacional nos termos do artigo 52. Ainda, respeitando se as particularidades de cada caso, sempre observando a gravidade, a boa-fé, o dano, se houve vantagem indevida para o infrator ou se é reincidente, se está colaborando para a solução do caso, entre outros parâmetros, mantendo o direito a ampla defesa.
Mesmo sendo definidas as punições para cada tipo de infração, a ANPD, não se mostra como uma “indústria da multa”, pelo contrário, vem inclusive com avisos, solicitações e planos de conformidade a fim de educar os agentes de tratamento, dando oportunidades de conhecimento da infração e adequação normativa antes de serem aplicadas as sanções.
O processo de fiscalização recebeu regulação específica através da Resolução CD/ANPD Nº 1 DE 28/10/2021, a qual em seu segundo artigo divide o processo em monitoramento, orientação e atuação preventiva, definindo as partes envolvidas, e nomeando os procedimentos. Estipulando ainda prazos, meio de comunicação e deveres dos agentes regulados durante a aplicação da lei, os quais devem sempre estar solícitos a autoridade competente. (BRASIL, 2021).
4.2. Responsabilidade Civil
Quando se impõe regras quanto ao tratamento de dados pessoais, além de sanções é necessário a aplicação da responsabilidade civil, a fim de que quaisquer danos causados pelo controlador ou operador ao titular sejam ressarcidos. Tais danos podem ser morais ou patrimoniais de interesse individual ou coletivo. Via de regra quem responde pelo prejuízo é o controlador, salvo quando o operador descumprir as ordens do controlador, ou infringir a lei, respondendo solidariamente ao dano. No artigo 43 da LGPD porém, estão listadas ressalvas, ou seja, quando o juiz se convence de que não há a obrigatoriedade de ressarcimento, por exemplo quando o titular acusa uma determinada empresa pelo vazamento de seus dados e no fim após investigações, a culpa é de outrem. Ou mesmo quando é alegado que a empresa não segue as regras e enfim se percebe que está tudo em conformidade.
Quando definido pelo juiz, pode haver a inversão do ônus da prova, sendo concedida ao titular em situações que as alegações são justas ou quando este não obtiver condições de produzir as evidências necessárias, sendo a obrigação de provar que não houve dano cabida ao agente de tratamento. Havendo direito de regresso, ou seja, uma empresa que responde solidariamente ao dano junto a outros controladores, pode fazer a reparação em nome de todos os outros e posteriormente entrar com ação de regresso contra os demais controladores a fim de recuperar a parte que lhe cabe no ressarcimento.
4.3. Megavazamento de Dados
O vazamento de dados acontece quando dados pessoais são acessados, utilizados para finalidades diversas a original, roubados, destruídos, alterados, divulgados, entre outros, de forma que o titular é exposto sem o seu consentimento, gerando algum tipo de prejuízo. Podendo acontecer de forma acidental, maliciosa ou devido a alguma falha de segurança.
Em janeiro de 2021 ocorreu o maior incidente de segurança da informação da história do Brasil, um megavazamento de dados que expôs informações pessoais de milhões de brasileiros, incluindo dados de pessoas já falecidas. As informações eram de fato sensíveis, incluindo nome completo, CPF, data de nascimento, endereço, telefone, e-mail, score de crédito, renda e até mesmo informações sobre veículos e participação em programas sociais. Tal vazamento se tornou um marco devido a vasta quantidade de dados comprometidos e as diversas implicações para a segurança e privacidade dos cidadãos, sendo afetadas cerca de 223 milhões de pessoas. (G1, 2021)
A origem exata do vazamento permaneceu um mistério, com investigações apontando para a possibilidade de que os dados tivessem sido reunidos de diversas fontes, tanto governamentais quanto privadas. Essa incerteza quanto à fonte primária do incidente apenas reforçou a complexidade do desafio de proteção de dados no Brasil. (G1, 2021)
A Autoridade Nacional de Proteção de Dados (ANPD), recém-criada à época, iniciou um processo de apuração rigoroso para identificar os responsáveis e as causas do ocorrido, demonstrando o compromisso em aplicar as diretrizes da Lei Geral de Proteção de Dados (LGPD). As consequências do megavazamento foram imediatas e de longo alcance. Milhões de brasileiros se viram expostos a riscos elevados de fraudes, golpes, roubo de identidade e outros crimes cibernéticos. A facilidade com que criminosos poderiam utilizar essas informações para abertura de contas falsas ou acesso indevido a serviços financeiros tornou-se uma preocupação real para a população.
Além do impacto direto nos indivíduos, o incidente gerou uma crise de confiança nas instituições, tanto públicas quanto privadas, que detinham e tratavam esses dados. Este episódio serviu como um impulso para a conscientização sobre a importância da LGPD e a urgência de sua implementação efetiva. O megavazamento evidenciou que a mera existência de uma legislação não é suficiente, é necessário que as organizações invistam em infraestrutura de segurança robusta, em programas de conformidade rigorosos e em treinamento contínuo de seus colaboradores.
O megavazamento de dados de foi um divisor de águas na discussão sobre privacidade e segurança da informação no Brasil. Não somente expondo a vulnerabilidade de nossos sistemas, mas também reforçando a necessidade de um compromisso contínuo e colaborativo entre governo, empresas e cidadãos para construir um ambiente digital mais seguro, transparente e respeitoso com os direitos fundamentais de cada indivíduo.
Na obra, Hoffmann-Riem (2020) alerta para os riscos estruturais de vigilância decorrentes da coleta massiva e contínua de dados por entes públicos e privados. O autor explica que a arquitetura digital contemporânea tende a reduzir o espaço de anonimato e intensificar o monitoramento das condutas, o que exige do Estado e das instituições mecanismos de controle eficazes. A LGPD, ao estabelecer princípios como o da minimização de dados e o da transparência, busca frear o avanço de uma lógica de dominação informacional que pode comprometer direitos fundamentais e a própria democracia.
