A Lei Geral de Proteção de Dados Pessoais (LGPD – Lei nº 13.709/2018) está em vigor para proteger os direitos fundamentais de liberdade e de privacidade e a livre formação da personalidade de cada indivíduo. Essa Lei versa sobre o tratamento de dados pessoais, dispostos em meio físico ou digital, feito por pessoa física ou jurídica de direito público ou privado e engloba um amplo conjunto de operações efetuadas em meios manuais ou digitais.
A LGPD estabeleceu uma estrutura legal que empodera os titulares de dados pessoais, fornecendo-lhes direitos a serem exercidos perante os controladores de dados. Esses direitos devem ser garantidos durante toda a existência do tratamento dos dados pessoais do titular realizado pelo órgão ou entidade. Muitas organizações captam os dados dos consumidores com a intenção de obter informações confiáveis para desenvolver estratégias e tomar decisões assertivas para a empresa. No entanto, podem representar risco para os clientes se não forem devidamente protegidas. Com isso, a nova lei assegura que cada empresa priorize três princípios de segurança:
Confiabilidade: Ao respeitar a medidas de proteção e prevenção que devem ser implementadas para garantir que as pessoas não sejam expostas a riscos;
Integridade: Garantindo a qualidade dos dados que devem estar corretos e atualizados;
Disponibilidade: Ao determinar que as informações deverão estar sempre disponíveis para acesso livre, a qualquer momento.
Contudo, a LGPD orienta que as empresas eliminem esses dados de sua base, garantindo, assim, que haja proteção para os titulares. Caso seja necessário usar informações para outros fins, as instituições devem apresentar um motivo legítimo, específico e claro para o uso das informações de cada usuário, bem como documentar isso em relatórios. Para as empresas, a vigência da LGPD significa se adequar a uma série de novas regras, mas também cria mais segurança jurídica, simplificando o entendimento de algo complexo.
Quanto ao cidadão
A LGPD não define obrigações para cidadãos, as pessoas devem ficar atentas e observarem a lei na prática. É importante verificar os termos de uso dos serviços para não ficarmos sujeito a abusos. É importante que as pessoas se apropriem dessas regras e busquem reparações caso entendam que há violação de direitos, para que a lei funcione as pessoas precisam cuidar de seus dados pessoais, além de solicitar e fiscalizar que as empresas cumpram suas obrigações.
Fundamentos da LGPD
A disciplina da proteção de dados pessoais tem como fundamentos:
- O respeito à privacidade;
- A autodeterminação informativa;
- A liberdade de expressão, de informação, de comunicação e de opinião;
- A inviolabilidade da intimidade, da honra e da imagem;
- O desenvolvimento econômico e tecnológico e a inovação;
- A livre iniciativa, a livre concorrência e a defesa do consumidor; e
- Os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.
Quais são as exigências práticas da Lei Geral de Proteção de Dados no setor privado?
Gerenciar dados com máxima atenção! A empresa tem que ter definitivamente, um cuidado maior no tratamento de dados pessoais. Isso exigirá um treinamento de pessoal em novos processos e nos novos mecanismos de segurança que devem ser implantados.
As empresas precisam se adequar para darmos o direito de acesso aos dados pessoais do titular do direito, mediante um pedido simples, e que seja facilitado sem dificultar o acesso e entregar a seus titulares, sem isso não estará atendendo a lei de proteção de dados, e pode responder pelos danos causados.
Direito dos titulares dos dados
O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:
- Confirmação da existência de tratamento;
- Acesso aos dados;
- Correção de dados incompletos, inexatos ou desatualizados;
- Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade;
- Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
- Eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 da LGPD;
- Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
- Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
- Revogação do consentimento.
Ampliar mecanismos de segurança de dados
A LGPD exige que esse cuidado seja maior a fim de evitar vazamentos de informações e exposição de dados pessoais. E com punições severas previstas para quem negligenciar a proteção de dados, é melhor ter tudo sob controle para evitar que sua empresa pague multas de alto valor. Ter um setor para cuidar de assuntos referentes à lei e serão muitas das providências que o controlador de dados deverá tomar a partir do momento em que começar a se adequar à LGPD.
Eles estão relacionados, principalmente, a segurança e proteção de dados. Além disso, sempre que a empresa tiver que fazer comprovações de que está seguindo as exigências da lei, deverá ter cada processo interno devidamente documentado com especificações técnicas.
Usar tecnologia para elaborar novos processos
Com novas atribuições, nova equipe e novas normas de segurança da informação e proteção de dados, é determinante que aquele que controla os dados elabore novos processos de gestão e governança e que zele pelo correto tratamento previsto pela LGPD. O emprego da tecnologia para esses fins será um desafio imposto pela norma.
Dados pessoais x dados sensíveis
De acordo com a lei nº 12.527/11 LAI (lei de acesso a informacao), informação pessoal é aquela relacionada à pessoa natural identificada ou identificável. Entende-se por pessoa natural a pessoa física, ou seja, o indivíduo. Segundo o art. 31 a LAI, não é toda e qualquer informação pessoal que goza de um regime específico de proteção. Apenas aquela com potencial de vulnerar os direitos de personalidade, tais como definidos no art. 5º, X da Constituição Federal, estaria sob uma proteção especial.
No núcleo desse conjunto de dados, estaria o que se denominou, com amparo na doutrina existente, a informação pessoal sensível. Ou seja, aquela informação que viola o direito de autodeterminação da imagem ou que possa levar a que terceiros adotem ações discriminatórias contra o titular daquele dado. A existência de gradações desta natureza mostrou-se bastante importante ao longo dos últimos anos, pois passou a indicar limites à mitigação da expectativa de privacidade no caso em que os titulares dos dados eram os próprios agentes públicos.
A LGPD manteve o conceito de dado pessoal trazido pela LAI, e evoluiu sobre o conceito de informação sensível: “dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”.
Diferentemente da LAI, no entanto, os direitos e salvaguardas sobre dados pessoais da LGPD incidem sobre todos os tipos de dados pessoais, observadas as legislações existentes, inclusive os regimes existentes de transparência e acesso à informação. Ou seja, a tutela da lei se estende não mais apenas aos dados pessoais sensíveis ou diretamente relacionados aos direitos de personalidade, mas, em maior ou menor medida, a todos os dados pessoais.
Normas
As normas determinam que o uso de dados deverá obedecer à vontade de seus donos, a partir do consentimento deles. Portanto se eles quiserem cancelar, excluir ou alterar suas informações da base, devem ter livre acesso. Afinal, com os dados em suas bases, a empresa torna-se a principal responsável por protegê-los com medidas de segurança reforçadas. No entanto, caso algum incidente ocorra, a companhia terá que comunicar aos órgãos protetores e aos clientes, sempre com clareza. Existe também o cuidado com dados de crianças e adolescentes, bem como transferências internacionais das informações. É necessário que haja comunicação e consentimento dos pais ou responsáveis.
Agentes de tratamento de dados na LGPD
O Controlador
É definido pela Lei como a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. No âmbito da Administração Pública, o Controlador será a pessoa jurídica do órgão ou entidade pública sujeita à Lei, representada pela autoridade imbuída de adotar as decisões acerca do tratamento de tais dados.
O Operador
É a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador, aí incluídos agentes públicos no sentido amplo que exerçam tal função, bem como pessoas jurídicas diversas daquela representada pelo Controlador, que exerçam atividade de tratamento no âmbito de contrato ou instrumento congênere.
O Encarregado da proteção de dados
Conhecido como DPO (Data protection officer), será a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
Tratamento de dados
É qualquer atividade que utilize um dado pessoal na execução da sua operação, como, por exemplo: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. É importante identificar quais ativos organizacionais estão envolvidos em cada fase do ciclo de vida do tratamento dos dados pessoais.
Hipóteses tratamento de dados
- Mediante o fornecimento de consentimento pelo titular;
- Para o cumprimento de obrigação legal ou regulatória pelo controlador;
- Pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas;
- Para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
- Quando necessário para a execução de contrato;
- Para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
- Para a proteção da vida ou da incolumidade física do titular ou de terceiros;
- Para a tutela da saúde;
- Quando necessário para atender aos interesses legítimos do controlador ou de terceiros, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais;
- Para a proteção do crédito.
A LGPD estabelece também, que o tratamento de dados pessoais deve observar a boa-fé e seus princípios fundamentais como a finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização. As fases do ciclo de tratamento implicam em coleta, retenção, processamento, compartilhamento e eliminação.
Exceções a aplicação da lei
Ademais, é importante esclarecer que, por taxativa previsão da LGPD as disposições da lei não são aplicadas ao tratamento de dados pessoais nas seguintes situações:
- Realizado por pessoa natural para fins exclusivamente particulares e não econômicos;
- Para fins exclusivamente jornalísticos, artístico e acadêmico;
- Para fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais;
- Provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto na LGPD.
Em conformidade com a proteção de dados
A adaptação à LGPD requer organização imediata no gerenciamento de informações. Para isso, é importante que os gestores façam um mapeamento dos processos para saber quais são as principais operações e quantos dados serão necessários para cada uma, de maneira definida e específica. Dessa forma, deve-se gerenciar as informações e controlar o ciclo delas nas bases internas.
A empresa deve implantar um gerenciamento inteligente que garanta a disponibilidade desses dados a qualquer momento. Com esse conhecimento sistematizado, é possível reduzir a coleta de dados ao mínimo necessário, como recomendado pela lei. Mesmo assim, o usuário, titular dos direitos, deve ser capaz de controlar o uso de seus dados.
Outros pontos prescritos pela lei é o Privacy by Design, ou seja, as empresas devem priorizar a privacidade em todas as etapas da concepção de um produto ou sistema, ou seja, do início ao fim. Com isso, a lei determina a criação de um comitê de segurança nas empresas, no qual haverá um profissional especializado em privacidade e em adotar políticas de proteção. Assim, ele terá habilidades e conhecimentos jurídicos para dominar a segurança da informação.
Da responsabilidade
Antes de iniciar alguma espécie de tratamento de dados pessoais, o agente deve se certificar previamente que a finalidade da operação esteja registrada de forma clara e explícita e os propósitos especificados e informados ao titular dos dados, pois respondem de forma solidária todos os envolvidos no tratamento de dados que violem a LGPD.
A LGPD é expressa em responsabilizar aquele que em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, obrigando a repará-lo. Inclusive, existe previsão de sanções administrativas como multas diárias ou multas simples, sendo estas limitadas a cinquenta milhões de reais.
Certo é que, as sanções previstas na LGPD não substituem a aplicação de sanções administrativas, civis ou penais, sendo que, em matéria de criminalidade, visa-se a segurança a ser dada ao tratamento de dados, como sigilo, confidencialidade e boas práticas. Não se pode ignorar que a criminalidade digital tem aumentado de maneira considerável, e com a obrigatoriedade de adequação deve-se utilizar da prevenção como a maneira mais eficaz de evitar desgastes para o administrador, de forma que são necessárias uma visão técnica e uma assessoria especializada sobre o tema. A LGPD não faz referência expressa a investigações ou repressão de infrações penais. A LGPD não cria tipos penais novos, mas servirá de valoração para a conduta dos administradores frente aos acontecimentos que envolvam proteção de dados.
Mudança na postura das empresas e dos cidadãos
O que pode ser observado é uma mudança cultural, principalmente sobre o comportamento esperado dos administradores (e seus prepostos e colaboradores) em relação aos dados pessoais de quem possuem acesso e tratamento, que prontamente exige de forma criteriosa educação e harmonização dos interesses dos envolvidos.
Agora é um momento crucial para as empresas se adequarem, pois, embora a autoridade nacional de proteção de dados (ANDP) ainda não esteja de fato criada, tivemos avanços através do decreto presidencial nº 10.474/2020 determinando sua estruturação. E mais, órgãos como PROCON e ministério público já podem realizar autuações com base na lei, mesmo que as sanções administrativas fiquem para agosto de 2021.
Outro ponto para se observar é que os próprios titulares já são capazes de realizar um papel de fiscalizadores de seus dados, pois eles já podem exigir que seus direitos sejam atendidos perante a lei. Começamos a construir um terreno onde o paradigma de terra sem lei será extinto. A propósito, a pergunta recorrente é, qual empresa deve se adequar? A resposta? Todas.
Jorge Alexandre Fagundes