LGPD: Tudo sobre a nova lei de proteção de dados

Um assunto tem dividido opiniões e interesses e sempre que isso acontece há mobilização, críticas, debates, colocando de lados opostos grupos e pessoas. No centro disso tudo, está a LGPD (Lei 13.709/2018), que foi sancionada pelo presidente Michel temer em 14 de Agosto de 2018 e deve entrar em vigor em 18 meses contados da sanção, para que possa haver adequação por parte dos envolvidos. Mas afinal o que é LGPD? Por que fala-se tanto nela? O que muda com esta nova lei?

O que é LGPD?

Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural”. Este é artigo primeiro da LGPD (Lei Geral de Proteção de Dados), a qual deve representar importantes direitos e garantias aos cidadãos.

Vamos procurar entender do que se trata isso.

Esta lei vem sendo discutida há anos e teve como bases para sua redação, um projeto de lei que tramitava no Senado e outra proposta da Câmara dos Deputados, bem como o instrumento correspondente da União Europeia e que foi denominado GDPR, que é a sigla para General Data Protection Regulation, ou em português, Regulamentação Geral para Proteção de Dados.

Resumidamente a lei brasileira tem por objetivo estabelecer as regras pelas quais é feita a coleta, armazenamento, tratamento e compartilhamento de dados pessoais, bem como quais as garantias ao sigilo e privacidade tais dados têm e as consequentes penalidades que o descumprimento da lei pode impor aos infratores. Ela também altera a Lei nº 12.965, de 23 de abril de 2014, conhecida como Marco Civil da Internet.

A polêmica por trás disso, fica por conta geralmente das empresas, as quais atualmente coletam e utilizam os dados pessoais mais do que meramente para fins administrativos, como por exemplo, para aprovação de crédito, e que na verdade acabam por ser a base para uma indústria que movimenta cifras enormes, tendo como origem geralmente dados diversos dos consumidores.

Há empresas especializadas em montar bancos de dados a partir justamente de dados que fornecemos em cadastros em sites de e-commerce, cadastros para aprovação de crédito, assinaturas de termos e contratos e toda uma gama de atividades comerciais em que temos nossos nomes vinculados.

Estes bancos de dados, são comercializados e utilizados estrategicamente para que as empresas possam apresentar seus produtos e serviços de maneira mais qualificada e dirigida. Estas informações podem e costumam valer milhões, tanto para quem as comercializam, mas principalmente para aqueles que se utlizam delas.

Se de um lado temos quem usa tais dados para ganhar dinheiro, temos do outro os consumidores, que deixam de ter assegurado o direito fundamental ao sigilo e privacidade e é este conflito de interesses, que gerou esta polarização e descontentamento por parte de certos setores, que são hoje os mais beneficiados com a ausência de uma legislação específica e condizente com o cenário atual.

Assim, a LGPD passa a ser um instrumento de proteção dos dados pessoais no Brasil, estabelecendo os papeis e responsabilidades de todos os envolvidos, assim como suas atribuições, garantias e penalidades no âmbito civil, podendo corresponder a multas de até 50 milhões de reais.

Particularidades da Lei

A viabilidade da lei, bem como a aplicabilidade e conformidade com o cenário e demandas atuais, faz necessário estabelecer determinados pressupostos, atores, finalidades e disposições, conforme segue:

  • Para os fins e objeto da lei, é considerado dado pessoal, toda “informação relacionada a pessoa natural identificada ou identificável”;

  • O inciso seguinte, discorre sobre a natureza e classificação do que consta como dado pessoal sensível, sendo todo “dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”;

  • O terceiro inciso que especifica a natureza do dado, trata do dado anonimizado, que é aquele que é “relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento

  • Os incisos de quinto ao nono, tratam de estabelecer os atores envolvidos, sendo os principais conforme disposto abaixo:

    • titular - pessoa natural a quem se referem os dados pessoais;

    • controlador - aquele a quem competem as decisões referentes ao tratamento de dados pessoais;

    • operador - aquele que realiza o tratamento de dados pessoais em nome do controlador;

    • encarregado - pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);

    • autoridade nacional - ou a ANPD do item imediatamente acima, é o órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da PGPD;

  • Em caráter genérico, quando há referência ao termo “tratamento dos dados”, designa-se como sendo “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”.

Quais os principais pontos da LGPD?

Primeiramente é importante ressaltar que esta, como qualquer outra lei, pode ter sua aplicação sujeita a diversas condições e até mesmo interpretações e por esta razão, este artigo não tem a pretensão de ser um guia jurídico definitivo ou parcial, nem tampouco de esgotar todas as possíveis consequências que ela deverá trazer aos envolvidos.

Dito isso, vamos apenas abordar os pontos de maior interesse e cujos desdobramentos são mais aparentes, afetando de um lado aqueles que hoje detém o controle dos dados pessoais e do outro as pessoas a quem estes mesmos dados estão associados.

A não aplicabilidade da lei

Há algumas situações ou cenários em que a lei não garante a proteção ao tratamento dos dados pessoais ou o faz por meio de outros instrumentos não previstos na LGPD, conforme segue:

  • Se o tratamento de dados pessoais é realizado por pessoa natural para fins exclusivamente particulares e não econômicos;

  • Quando o tratamento dos dados é realizado para fins exclusivamente jornalístico e artísticos, ou acadêmicos, ou segurança pública, ou defesa nacional ou ainda atividades de investigação e repressão de infrações penais;

As observâncias dadas ao tratamento de dados pessoais

Devem ser estipulados determinados princípios, aos quais devem estar submetidos os dados tratados, os quais devem ter seu acesso facilitado e deverão ser disponibilizadas de forma clara, adequada, sob consentimento do titular, tais como, mas não somente:

  • Finalidade - realização do tratamento para propósitos legítimos, específicos e explícitos;

  • Adequação - compatibilidade do tratamento com as finalidades informadas ao titular, por parte do controlador;

  • Necessidade - limitação do tratamento ao mínimo necessário para a realização de suas finalidades (primeiro item);

  • Livre acesso - garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sua necessidade (terceiro item);

  • Transparência - garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento;

  • Segurança - utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados, incorrendo assim na privacidade dos mesmos.

A permissão para tratamento de dados pessoais

O tratamento de dados pessoais pelo controlador, somente poderá ocorrer mediante o atendimento de determinadas condições:

  • Fornecimento de consentimento por parte do titular, geralmente por escrito ou por instrumento cuja comprovação seja aferível e constante em contrato ou termo correspondente;

  • Cumprimento de obrigação legal ou regulatória por parte do controlador;

  • Pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis;

  • Para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais e quando não, observadas as garantias necessárias cobertas e devidas aos dados pessoais e sensíveis;

  • Para o exercício regular de direitos em processo judicial, administrativo ou arbitral;

  • Na condição de compartilhamento de dados pessoais com outros controladores exigir-se-á a sua informação quanto ao compartilhamento e a consequente obtenção de consentimento específico do titular para esse fim;

  • O consentimento dado pelo titular deverá referir-se a finalidades determinadas, e as autorizações genéricas para o tratamento de dados pessoais serão consideradas nulas;

  • Quando o controlador necessitar comunicar ou compartilhar dados pessoais com outros controladores deverá obter consentimento específico do titular para esse fim;

  • Cabe ao controlador o ônus da prova de que o consentimento foi obtido em conformidade com o disposto na LGPD;

  • Se houver mudanças da finalidade para o tratamento de dados pessoais não compatíveis com o consentimento original, o controlador deverá informar previamente o titular sobre as mudanças de finalidade, podendo o titular revogar o consentimento previamente dado;

  • É vedado o tratamento de dados pessoais mediante vício de consentimento;

  • O consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado;

  • O consentimento dado pelo titular ao controlador será considerado nulo caso as informações fornecidas ao titular tenham conteúdo enganoso ou abusivo ou não tenham sido apresentadas previamente com transparência, de forma clara e inequívoca.

Transferência internacional de dados

Pelo caráter global da Internet e mesmo da economia, em que há muitas relações com empresas transnacionais, a lei estabelece como deve ser o tratamento dos dados e mais do que isso, a transferência para além das fronteiras nacionais, prevendo que só é permitida a transferência dos dados para outros países, em algumas das seguintes situações e condições:

  • O país de destino dos dados tem lei vigente equivalente à LGPD, em termos de proteção dos dados;

  • Quando o controlador garantir ao titular dos dados seus direitos, salvaguardando o mesmo regime de proteção da LGPD, na forma de cláusulas contratuais, selos, certificados e normas;

  • Se houver finalidade de cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de direito internacional ou ainda acordo de cooperação internacional;

  • Da transferência depender proteção da vida ou da incolumidade física do titular ou de terceiro;

  • Mediante consentimento específico por parte do titular e havendo em destaque para a transferência, com informação prévia sobre o caráter internacional da operação.

Criação de Autoridade Nacional de Proteção de Dados

A ANPD deverá ser o órgão nacional federal, integrante da Presidência da República, que receberá apoio técnico e administrativo da Casa Civil da Presidência da República para o exercício de suas atividades, cujas competências são:

  • Zelar pela proteção dos dados pessoais;

  • Editar normas e procedimentos sobre a proteção de dados pessoais;

  • Deliberar, na esfera administrativa, sobre a interpretação da LGPD, suas competências e os casos omissos;

  • Requisitar informações, a qualquer momento, aos controladores e operadores de dados pessoais que realizem operações de tratamento de dados pessoais;

  • Implementar mecanismos simplificados, inclusive por meio eletrônico, para o registro de reclamações sobre o tratamento de dados pessoais em desconformidade com a LGPD;

  • Fiscalizar e aplicar sanções na hipótese de tratamento de dados realizado em descumprimento à legislação;

  • Difundir na sociedade o conhecimento sobre as normas e as políticas públicas de proteção de dados pessoais e sobre as medidas de segurança;

  • Aplicação das sanções previstas na LGPD;

  • Articular sua atuação com o Sistema Nacional de Defesa do Consumidor do Ministério da Justiça e com outros órgãos e entidades com competências sancionatórias similares.

Conselho Nacional de Proteção de Dados Pessoais e da Privacidade

Será formado um conselho que entre vários papeis, terá por responsabilidades, propor diretrizes estratégicas e fornecer subsídios para a elaboração da Política Nacional de Proteção de Dados Pessoais e da Privacidade e para a atuação da ANPD; elaborar relatórios anuais de avaliação da execução das ações da Política Nacional de Proteção de Dados Pessoais e da Privacidade; sugerir ações a serem realizadas pela ANPD.

Este conselho será composto por membros Poder Executivo Federal, Senado, Câmara dos Deputados, Conselho Nacional de Justiça, Ministério Público, Comitê Gestor da Internet e representantes diversos da sociedade civil, instituições científicas e até mesmo do setor empresarial.

Resumo

A tecnicidade e o linguajar próprio embutido nas leis, as vezes não torna aparente para a maior parte dos leigos, os desdobramentos e consequências e por isso, invariavelmente é necessário se fazer uma síntese objetiva.

Em termos práticos, a LGPD deve assegurar às pessoas que toda informação que ela fornece a respeito de si mesma, tais como nome, dados de documentos, geolocalização, renda, entre outros, faça-se por uma justificativa clara e precisa.

Estas informações não podem ser usadas fora das condições em que elas foram dadas e autorizadas pela pessoa a elas relacionada.

Toda manipulação e uso de tais dados, deve ser de conhecimento de quem os forneceu e que tem o direito de vetar seu uso se o assim entender.

Se houver necessidade de novo uso, diferente do inicial, em relação às informações anteriormente fornecidas, por parte de quem as obteve, o motivo e finalidade de uso devem ser informados e um novo consentimento deve ser dado por parte do titular das informações, o qual também tem o direito de irrestrito acesso aos seu dados, bem como condições facilitadas de cancelar o consentimento prévio.

O compartilhamento dos dados e que hoje é prática comum, sendo responsável pela disseminação indiscriminada dos dados pessoais, deverá ser possível apenas com prévia informação por parte de quem coleta os dados e exige autorização por parte do titular, devendo o novo controlador ser submetido às mesmas condições de quem originalmente coletou os dados.

Do ponto de vista das garantias individuais, agora as pessoas tendem a contar com mecanismos para assegurar privacidade e sigilo de seus dados pessoais. As empresas em contrapartida, deverão instituir mecanismos mais transparentes e justos, como também desenvolverem relacionamentos mais pautados na ética.

É importante ressalvar, que o envolvimento de quaisquer partes nas situações que esta lei prevê, deve acompanhar primeiramente a consulta ao texto completo da mesma, disponível no site do Palácio do Planalto e em casos de divergências, recorrer-se aos mecanismos e instituições pertinentes, a fim de ser ter asseguradas os direitos e deveres correspondentes.

Conclusão

Com a aprovação da LGPD (Lei Geral de Proteção de Dados), o Brasil dá um passo importante no sentido de tratar adequamente um dos problemas do mundo moderno, que é a proteção aos dados pessoais e consequentemente ao sigilo e privacidade das pessoas, preenchendo lacunas relacionadas às garantias e direitos fundamentais que o indivíduo deve ter assegurados.