Dentre muitos temas relacionados ao nosso mundo, já imerso na revolução 4.0, e que vêm ganhando destaque nos noticiários, nas mídias e até em filmes, definitivamente, a LGPD (Lei Geral de Proteção de Dados Pessoais) figura-se como um dos temas mais complexos e objeto de ampla discussão, já que essa lei envolve uma magnitude ampla de empresas e, em escala infinitamente maior há muitas pessoas atingidas por suas medidas de proteção.
De modo generalista, podemos afirmar que, a LGPD (sancionada em agosto de 2018 e que entra em vigor em agosto de 2020), diz respeito a todos nós. Portanto essencial e urgente que todos consigamos entendê-la melhor, sabendo com consistência os pontos que ela abrange, em qual contexto que nasceu essa necessidade e, principalmente, os desdobramentos previstos por ela.
Por isso separamos esse artigo, para que você consiga compreender e, por si próprio, tirar os questionamentos cabíveis, afinal é um assunto absolutamente novo para humanidade como um todo, mas que nasceu e cresce todos os dias, firmando-se, como nossa nova e irreversível realidade: nossos dados estão no mundo online, e precisa haver medidas de proteção e reflexão sobre todas as consequências que isso envolve.
1. O que é a LGPD
A Lei Geral de Proteção de Dados Pessoais (LGPD) figura-se como a atualização e ampliação legal do Marco Civil da Internet (Lei 12965/2014), que regula a internet no Brasil. A LGPD dispõe especificamente sobre os tratamentos de dados pessoais, a partir de uma abrangência geral desses dados: sejam eles acontecidos vias digitais, de posse de pessoa natural ou jurídica, ou ainda de direito público ou privado.
Acontece que, desde os escândalos da União Europeia, em meados de 2016, com o vazamento de dados de milhões de usuários da Cambridge Analytica, muitos outros países que tinham leis próprias de regularização do tratamento de dados pessoais sentiram-se obrigados a implementar uma norma geral que unificasse essas leis, com princípios básicos para todos.
Foi nesse cenário então que, no território brasileiro, tivemos a LGPD em agosto de 2018, que diz respeito sobre a regulamentação geral do tratamento e posse de dados pessoais.
1.1 Objetivos da lei de proteção de dados
A LPGD nasceu de uma necessidade explícita do ocidente em unificar as leis específicas já existentes em cada nação, a fim de criar princípios básicos e gerais para o tratamento e posse de dados. Então o objetivo central dessa lei brasileira é estabelecer um padrão geral para os direitos e condições para tratamento de dados pessoais em todo o território nacional, garantindo inclusive a aplicação extraterritorial da lei.
Resumindo, significa que essa Lei serve para o Brasil inteiro e, mesmo em ações acontecidas foram do nosso território, mas que tenham relação com nosso território (coleta ou tratamentos dos dados feito aqui ou com interesses em nosso território) serão regidas sob às cláusulas da LPGD 13.709/2018.
Para entender os desdobramentos e as especificidades dessa lei é essencial antes ter entendido que a definição de “dado pessoal” diz respeito a “qualquer informação relacionada a pessoa natural ou identificável” (Art. 5º da LGPD). Isso significa que todo dado, a partir do qual seja possível identificar uma pessoa, seja ele estando sozinho ou relacionado com outro(s) dado(s), figura-se como “dado pessoal” e, portanto protegido pela LPGD.
Então, dessa forma, o objetivo central da lei é proteger os direitos fundamentais de liberdade e de privacidade, bem como proteger o “livre desenvolvimento da personalidade da pessoa natural”.
Nesse último ponto caberia (caberá, mas não nesse artigo), ainda uma ampla e complexa discussão, pois de modo muito resumido a lei a compreende que sem a liberdade e privacidade de seus dados a pessoa pode desenvolver personalidades que afetam seus próprios interesses de escolhas e liberdades, como consta no texto resumido, mas complexo, no texto do art. 20, da LGPD 13.709/18.
1.2 GDPR – a inspiração para LGPD
Como já pontuamos, a LGPD é a lei brasileira de proteção de dados que decorre das necessidades mundiais postas à cybersegurança dos países e cidadãos. A formalização legal, advinda das necessidade da segurança dos dados onlines foi iniciada pela GDPR, Global Data Protection Regulation.
Essa lei, de jurisdição da União Europeia, é a regulamentação adotada pela UE em 2018, que foi criada para proteger a privacidade dos dados pessoais de cidadãos europeus. Ela tem como objetivo principal evitar o vazamento de informações que envolvam dados sensíveis ou confidenciais, ou seja, é uma norma que pretende dar mais controle aos usuários sobre seus dados. Quer dizer que o cidadão tem direito a saber e escolher o que outra pessoa ou empresa faz com seus dados, seja sobre uso, controle, tratamento, alteração ou armazenamento desses dados.
1.3 Validação nacional e extraterritorial
Tanto a GDPR, que serviu de inspiração para a nossa lei, quanto a própria LGPD são válidas dentro das nações de abrangência de cada uma e também em territórios internacionais. Desde que os dados em questão tenham relação com o país regido pela lei, onde quer que eles sejam processados, usados ou vinculados, será regido pela lei do país em questão.
Em linhas específicas, de acordo com os termos da lei, a LGPD “aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados”.
Essa medida é importante porque possibilita a aderência em uma espécie de efeito dominó. Pois as empresas que estiverem regidas pela lei, e de acordo com ela, vão exigir que as empresas parceiras o façam, evitando assim conflitos entre as ações. Em resumo as empresas precisarão que suas atividades de tratamento de dados pessoais estejam conforme a lei em todas as etapas, inclusive nos processos que lidam com empresas parceiras.
2. Conceitos da Lei
Para entender a Lei Geral de Proteção de Dados é importante, antes, ter claro três conceitos essenciais que envolvem a LGPD: primeiro quem é quem na lei – titular, controlador, operador e encarregado; segundo o que são dados pessoais; e terceiro no que consiste o tratamento de dados.
2.1 Quem é quem na Lei
Para conseguir distinguir as possíveis pessoas (físicas ou jurídicas) envolvidas no processo é essencial compreender as nomenclaturas usadas na lei. Basicamente são quatro tipo de pessoas envolvidas, como constam resumidas abaixo:
Titular: é a pessoa física dona dos dados que estiverem em questão.
Controlador: é quem define como os dados serão tratados. Então seja uma pessoa física ou jurídica (de direito público ou privado) que tiver sob seu controle dados de outras pessoas, ela será chamada de “controladora”, pois tomará decisões referentes aos tratamentos desses dados.
Operador: basicamente quem trata de fato os dados que estiverem em questão.
Agente de Tratamento: denominação genérica para o controlador e o operador.
Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
2.2 Dados Pessoais
São considerados dados pessoais toda informação capaz de identificar uma pessoa, seja essa identificação direta ou indireta. E, nesse segundo caso, quer dizer que mesmo dados “gerais” quando vinculados entre si (por exemplo, número de telefone relacionado com o endereço e com o nome da pessoa) e que juntos sejam capazes de identificar uma pessoa, são também definidos como dados pessoais.
Além disso, existem os chamados dados pessoais sensíveis, considerados em aspectos mais subjetivos ou mais pessoais de foro estritamente individual, tais como: “origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico”. Todas essas informações são, em lei, consideradas dados pessoais e que, portanto, são protegidas e possuem direitos assegurados mediante à LGPD.
2.3 Tratamento de Dados
Nesse ponto, em especial, a lei ainda possui um texto bastante abrangente (que em certa medida o torna genérico) para descrever as definições do conceito de tratamento de dados. De modo geral seria toda operação que envolva dados pessoais.
Os dados podem ser usados de várias maneiras, por exemplo, podem ser armazenados, compartilhados, classificados, acessados entre várias outras ações. Se traduzirmos para ações (verbos) todas as classificações explicitadas no inciso X do Art. 5º teremos 20 possibilidades:
1. Coletar; 2. produzir; 3. receber; 4. classificar; 5. utilizar; 6. acessar; 7. reproduzir; 8. transmitir; 9. distribuir; 10. processar; 11. arquivar; 12. armazenar; 13. eliminar; 14. avaliar 15. controlar; 16. modificar; 17. comunicar; 18. transferir; 19. difundir; 20. extrair.
Todas essas ações quando relacionadas a dados pessoais são, portanto, entendidas em vias legais como operação de tratamento de dados.
3. LGPD na Prática – direitos e deveres
O cidadão titular de seus dados têm, óbvio e inegável, direito sobre eles. O principal direito elucidado pela LGPD é o direito ao acesso sobre as informações de tratamento de seus dados. Como consta no Art 9º a pessoa titular dos dados tem “direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca de, entre outras características previstas em regulamentação para o atendimento do princípio do livre acesso”.
Basicamente, significa que nos entendimentos da lei o cidadão tem direito à proteção soberana sobre seus dados. Portanto, a qualquer tempo, tem poder de decisão sobre seus dados: alteração, revogação ou exclusão.
Esses direitos podem ser requeridos junto aos órgãos de autoridade nacional, bem como perante aos organismos de direito do consumidor (Art. 18º). Portanto, todas as decisões tomadas por conta do tratamento de dados pessoais automatizados (tratados) que afetem o interesse da pessoa podem, a qualquer tempo, serem revistos mediante à solicitação do titular dos dados.
Isso porque a lei compreende a gravidade que pode envolver as esferas decisórias tomadas pela pessoa (em decorrência do tratamento dos dados), que incluem “decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade”.
3.1 Usuário é detentor dos direitos sobre seus dados
Essas proteções de direito do usuário são essenciais porque não permite mais que, por exemplo, as empresas se apropriem do esquecimento dos usuários para controlar a maneira como ele é exposto na internet. Se há conteúdos em sites que envolvem o usuário e ele quiser retirar, ele terá esse direito, precisando então exigir a remoção do conteúdo.
Além disso, os direitos estabelecidos aos usuários garante que eles possam saber quais conteúdos que uma empresa está armazenando sobre ele. Esse direito aliado ao direito, já estabelecido, da informação faz com o usuário tenha poderes para saber e agir sobre como seus dados são tratados. Permitindo então que ele tenha controle sobre o armazenamento e exposição de seus dados na internet.
3.2 A empresa tem obrigação de proteger os dados
Inegável que as empresas que lidam com tecnologia são as mais afetadas no momento pela LGPD, pois são elas que precisarão tomar ações cabíveis de proteção e cuprimento da lei. Para tanto será preciso designar um perfil de profissional responsável pela área de tecnologia e outro pela parte jurídica.
Além de, claro, cumprir com as normas práticas permitindo ao usuário titular dos dados controle sobre os dados coletados. Por isso, todas as empresas que de alguma forma lidam com dados pessoais precisam ter claros os termos de consentimento de uso dos dados, ou seja, precisará fornecer ao usuário mecanismos para que ele saiba como a empresa usa os dados coletados.
4. Penalidades pelo descumprimento
Como imaginado, as penalidade pelo descumprimento da lei são onerosos e podem envolver proibição total ou parcial das atividades relacionadas ao tratamento dos dados. Além disso, são previstas multas que causariam prejuízos financeiros às empresas.
As multas estabelecidas pela LGPD variam e acordo com a gravidade do fato praticado, com valor mínimo de 2% do faturamento da empresa ou conglomerado, e com valor máximo de R$ 50 milhões de reais por infração cometida, além da previsão de multas diárias para coagir a empresa cessar as violações dos dados.
4.1 Dúvidas aos órgãos reguladores
Há, ainda complexos e variados questionamentos acerca da LGPD e muitos deles dizem respeito ao órgão regulador, pois inicialmente essa função competia à ANPD (Agência Nacional de Proteção de Dados). Ela tinha a função de uniformizar a lei e apoiar as empresas com bases legais que seriam interpretadas, além de exercer a função de fiscalizar e aplicar a lei. Contudo na aprovação da LGPD ela foi vetada para essa função.
O grande problema gerado pela falta de uma agência reguladora, é o não estabelecimento parâmetros mínimos que permitam universalizar a lei, gerando dúvidas e questionamentos quanto a aplicação e uso da LGPD. Dessa forma, os pontos interpretativos da lei ficam a cargo do Poder Judiciário interpretá-los à medida em que forem provocados pelas empresas e usuários que se sentirem lesados em seus direitos.
Se você tiver dúvidas sobre o assunto ou desejar fazer suas considerações, deixe seu comentário ou escreva diretamente para o autor: edensrjunqueira@vamosescrever.com.br
Veja também
Otimize rotinas, reduza custos e evite multas
Otimize rotinas, reduza custos e evite multas