Aprovada no dia 14 de agosto de 2018, depois de quase 10 anos de discussão, a Lei Geral de Proteção de Dados brasileira (mais conhecida como “LGPD”) enfim foi publicada e passará a disciplinar desde o processo de coleta, armazenamento e compartilhamento de dados pessoais no Brasil.
Para compreender o que a LGPD representa para você, seu negócio e/ou seu evento, este primeiro artigo trará os principais pontos e conceitos sobre esta nova Lei – que possui potencial para trazer impactos à sociedade como poucas leis antes trouxeram.
Para dar início, é justo começar respondendo:
Afinal, por que a LGPD foi criada?
Como já adiantado acima, a LGPD não foi aprovada de uma hora pra outra. Foram anos de discussão para chegar à versão da Lei atual. No entanto, sabemos que alguns fatores aceleraram, e muito, a sua publicação. Podemos citar, por exemplo:
- O escândalo envolvendo a empresa Cambridge Analytica;
- Publicação do General Data Protection Regulation (GDPR), regulamento europeu de proteção de dados pessoais que muito inspirou a redação atual da LGPD, inclusive.
- Tentativa de alteração da Lei do Cadastro Positivo, que regulamenta o banco de dados de adimplentes;
- Interesse do Brasil em entrar na Organização para a Cooperação e Desenvolvimento Econômico – OCDE. A LGPD foi apoiada como forma de facilitar a entrada do Brasil nesta Organização.
Em um país com quase 200 mil normas legais como o Brasil, é natural que quando se tem a notícia da publicação de mais uma lei, em primeiro momento a maior parte das pessoas não tende a sair por aí comemorando.
Mas basta pensarmos no cenário em que estávamos inseridos antes da LGPD, por exemplo, para começarmos a vislumbrar pontos positivos em um novo regramento para o uso de dados pessoais no Brasil.
O país já possuía mais de 40 normas que direta e indiretamente tratavam da proteção à privacidade e aos dados pessoais, sendo que a LGPD veio para substituir e/ou complementar esse arcabouço regulatório, que por vezes era conflituoso e trazia bastante insegurança jurídica, além de colocar o Brasil em uma posição menos competitiva no contexto de uma sociedade que vem orbitando em torno de dados.
Com a LGPD, o Brasil passa a fazer parte – de forma atrasada –, do grupo de mais de 120 países que possuem legislação própria sobre proteção e privacidade de dados pessoais. Isso é importante para preservar nossas relações comerciais com países que exigem um nível de proteção de dados adequados, trazendo potencial para fomentar, principalmente, os setores de tecnologia da informação, por exemplo.
A quem a LGPD se aplica?
A aplicação da LGPD é bem abrangente, isto pois ela é aplicada a todos os setores da economia, indiferente de seu porte, tanto no âmbito público quanto no privado, online e offline.
Além disso, a LGPD possui aplicação extraterritorial. Isto significa dizer que, mesmo que uma empresa esteja localizada fora do Brasil, caso ofereça serviços no país, ela também possui a obrigação de se adequar à LGPD.
O que se entende por “tratamento de dados”?
No âmbito da LGPD, o conceito de “tratamento de dados”, que tanto se usa quando se fala da Lei, é bem expansionista, se referindo a qualquer operação realizada com dados pessoais.
Nos termos da LGPD, são exemplos a “coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração de dados pessoais”.
Por essa razão, no simples ato de contratar um funcionário, por exemplo, uma empresa já estará realizando o tratamento de dados pessoais, estando sujeita às disposições da LGPD.
O que é um dado pessoal, sensível e anonimizado?
A LGPD traz uma nova classificação sobre dados. Sua compreensão é importante e traz implicações práticas. Vejamos:
Dado pessoal: “Informação relacionada à pessoa natural identificada ou identificável”. Ou seja, qualquer informação que permita identificar uma pessoa física, como nome, e-mail, estado civil, por exemplo.
Dado sensível: “Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”.
Na prática, uma vez que os dados sensíveis possuem maior potencial de lesar os donos dos dados, as hipóteses de tratamento de tais dados são mais restritivas e as empresas devem observar padrões de segurança mais elevados. Pensando na fiscalização da Lei, provavelmente essas empresas tendem a ser mais visadas na prática.
Dados anonimizados: “Dado relativo ao titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento”.
A técnica de anonimização afasta a possibilidade de associação de um indivíduo sem possibilidade de reversão, e por essa razão um dado anonimizado não é considerado um dado pessoal e essa impossibilidade de identificação retira os dados anônimos do escopo da LGPD.
Quem são os atores envolvidos na LGPD?
Para entender a LGPD, é importante ter claro o papel dos quatro agentes da Lei. São eles:
Titular: Basicamente, o titular é o dono do dado. É uma pessoa física localizada no Brasil que tem seus dados tratados pelo controlador ou operador.
Controlador: Pessoa ou organização a quem competem as decisões referentes ao tratamento de dados pessoais.
Operador: Pessoa ou organização que realiza o tratamento de dados pessoais em nome do controlador.
Para melhor compreensão prática destas definições, vejamos um caso hipotético:
Maria compra um ingresso para o evento “XExperience”, promovido pela empresa “Experience”.
Para comprar seu ingresso, Maria preenche um formulário informando seu nome, e-mail, telefone, sexo e estado civil.
A empresa Experience armazena esses dados e compartilha tais informações com a empresa “Terceiriza”, empresa contratada para cuidar da recepção dos participantes do evento.
Neste caso hipotético, Maria figura como titular dos dados, sendo que ela possui uma série de direitos e poderá cobrar esses direitos diretamente com a empresa Experience, que atua como controladora e possui a obrigação de coletar consentimento de Maria para tratar tais dados, por exemplo.
A empresa Terceiriza, por sua vez, atua como operadora, devendo tratar os dados que foram compartilhados com ela de acordo com as orientações da Experience, não podendo utilizar esses dados para fins distintos e fora do escopo da sua contratação, sendo que as obrigações decorrentes da LGPD também são aplicadas à empresa terceirizada.
Encarregado/DPO: Uma das grandes novidades trazidas pela LGPD se refere a obrigação de nomeação de um “encarregado”, na LGPD, ou o Data Protection Officer (“DPO”), na GDPR.
O encarregado/DPO é uma pessoa (física ou jurídica) indicada pelo controlador para atuar como um canal de comunicação entre o operador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados. Trata-se de uma profissão nova no Brasil.
De acordo com a redação atual da LGPD, toda entidade que trata dados pessoais possui a obrigação de nomear esse profissional, que será responsável por auxiliar o controlador ou o operador no cumprimento das obrigações legais de proteção de dados.
Spoiler: Essa obrigação aplicável a qualquer entidade, sem distinção, é motivo de muita discussão no meio jurídico, mas a LGPD já prevê em sua redação que a ANPD poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado/DPO, inclusive hipóteses de dispensa.
Quais são os fundamentos legais para tratamento de dados pessoais?
Para se tratar dados pessoais de acordo com a LGPD, será necessário ter um fundamento legal que autorize.
A LGPD enumera 10 hipóteses que autorizam o uso dos dados. Vale destacar:
- Quando o titular consentiu com a utilização dos dados por meio da aceitação de políticas de privacidade e contratos, por exemplo;
- Para cumprir alguma obrigação legal;
- Quando necessário para atender os legítimos interesses do controlador ou de um terceiro.
O consentimento se trata da principal base da LGPD, mas existem alguns requisitos que devem ser respeitados para que esse consentimento seja considerado válido:
- O consentimento tem que ser dado de forma livre e clara. Não podem existir dúvidas quanto ao que está sendo autorizado;
- No caso de um contrato escrito, se recomenda que a cláusula que fale dos dados seja destacada das demais;
- Quando se tratar de dados sensíveis, será necessário destacar especificamente qual a finalidade do tratamento;
- Quando se tratar de crianças e adolescentes o consentimento tem que ser dado por pelo menos um dos pais ou o responsável;
- Se os objetivos com os dados mudarem, será necessário solicitar nova autorização do titular para prosseguir com o tratamento.
A utilização do “legítimo interesse”, que permitiria o uso de dados pessoais para finalidades além daquelas originalmente autorizadas pelos seus titulares ou as que ensejaram a sua criação, vale ser destacada, mas seu uso demanda alguns cuidados, devendo sempre prevalecer os direitos e liberdades fundamentais do titular.
Princípios gerais de proteção de dados:
Por se tratar de uma lei nova, a LGPD traz consigo 10 princípios que devem ser levados em consideração no tratamento de dados pessoais.
Sempre que houver dúvida, vale pensar se o tratamento de dados a ser realizado segue os seguintes princípios:
- Finalidade: O tratamento de dados deve servir a propósitos legítimos, específicos, explícitos e informados ao titular;
- Adequação: O tratamento de dados deve ser compatível com as finalidades informadas e divulgadas;
- Necessidade: O tratamento deve ser limitado ao mínimo necessário para a realização das finalidades;
- Livre acesso: Os titulares devem poder consultar os seus dados de forma fácil e gratuita;
- Qualidade dos dados: Os dados devem ser mantidos exatos e atualizados, dando ao titular a possibilidade de corrigi-los;
- Transparência: O titular deverá ser capaz de solicitar seus dados, de corrigi-los ou de solicitar sua exclusão de forma rápida, fácil e descomplicada;
- Segurança: Deverão ser adotadas medidas técnicas e administrativas aptas a proteger os dados de acessos não autorizados;
- Prevenção: Deverão ser tomadas medidas para prevenir danos aos dados durante seu tratamento;
- Responsabilização e prestação de contas: Tanto o controlador quanto e operador devem comprovar a adoção das medidas necessárias para o cumprimento das normas de proteção de dados pessoais, bem como garantir a eficácia destas medidas;
- Não discriminação: O tratamento de dados não pode servir a fins abusivos ou para práticas discriminatórias ilícitas.
Direitos básicos dos titulares que você deve se atentar:
Em consonância com os princípios mencionados, a LGPD amplia os direitos dos titulares. Partindo da premissa que as pessoas são donas de seus dados, são direitos dos titulares:
- Direito de Acesso: O titular tem direito a acessar seus dados pessoais e solicitar informações de como é realizado o tratamento de tais dados;
- Direito de Retificação: O titular tem direito de solicitar a retificação dos dados pessoais inexatos que lhe digam respeito, podendo corrigir ou completar os seus dados pessoais;
- Direito ao apagamento dos dados (“direito a ser esquecido”): O consentimento pode ser revogado pelos titulares a qualquer momento e, uma vez que for feito, ele tem o direito de que os mesmos sejam excluídos;
- Direito de Portabilidade dos Dados: O titular tem direito a receber os dados pessoais que lhe digam respeito e que tenha fornecido a uma empresa, por exemplo, num formato estruturado, de uso corrente e de leitura automática, bem como o direito de transmitir esses dados a outro responsável pelo tratamento (se tal for tecnicamente possível) sem que a empresa possa impedir, e se o tratamento se basear no consentimento ou num contrato, e se o tratamento for realizado por meios automatizados;
- Direito a retirar o consentimento: O titular tem direito a alterar o seu consentimento, limitá-lo a determinados tipos de tratamento ou retirá-lo. A retirada do consentimento não compromete a licitude do tratamento efetuado com base no consentimento previamente dado.
- Direito de Oposição: Se opor ao tratamento dos dados pessoais que lhe digam respeito, quando não existem razões imperiosas e legítimas para o tratamento que prevaleçam sobre os seus interesses, direitos e liberdades, ou para efeitos de declaração, exercício ou defesa de um direito num processo judicial;
- Direito à Limitação do Tratamento: O titular possui direito de obter, em determinadas situações, a limitação do tratamento dos seus dados.
Ok, mas quem vai fiscalizar a LGPD?
A recém-criada Autoridade Nacional de Proteção de Dados (ANPD) vai ficar responsável pela fiscalização do cumprimento da LGPD.
A ANPD será um órgão central, mas ela pode atuar com outros órgãos e entidades relacionadas ao tema de proteção de dados.
O que acontece se eu não cumprir com a LGPD?
A LGPD prevê a aplicação de sanções administrativas em caso de infração à LGPD.
Entre as sanções, há possibilidade de aplicação de advertências, multas, ou até mesmo a proibição total ou parcial de atividades relacionadas ao tratamento de dados.
As multas podem variar entre 2% do faturamento da empresa, grupo ou conglomerado, sendo limitada a R$ 50.000.000,00 (cinquenta milhões de reais) por infração – eu sei, é assustador!
As multas são importantes, sem dúvidas, só não são tudo quando se trata da LGPD. Na lógica de fazer do limão uma limonada, há empresas enxergando proteção e privacidade de dados como uma verdadeira jornada à transformação, a utilizando como diferencial competitivo, inclusive.
“O próximo capítulo da inovação é privacidade”. São as palavras do próprio Mark Zuckerberg, na mais recente conferência anual realizada pelo Facebook, o F8.
Período de transição e adaptação:
A LGPD entrará vigor em agosto de 2020. Ou seja, entidades públicas e privadas terão até esse período para se adaptar.
No contexto de eventos, a transparência com os participantes e a coleta de consentimento para utilização de seus dados pessoais será mais do que fundamental. Além disso, o cuidado na escolha de parceiros comerciais e a adoção de medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais também fazem parte do processo de adequação à Lei.
De qualquer forma, a verdade e que não existe solução única e completa para se adequar à LGPD. No entanto, há diversos caminhos e abordagens para tratar esse processo que podem trazer benefícios para além da conformidade com a Lei.
Os desafios são grandes, mas a chegada da LGPD pode ser bastante positiva.
Qual é a sua opinião a respeito?
—
Restou alguma dúvida? Conta pra mim! O seu questionamento pode ser tema de um próximo artigo 😉
CEO e Fundadora da Data Guide, empresa especializada em projetos de adequação de empresas à LGPD. Head de proteção de dados do Silva Schütz Advogados, escritório especializado em empresas que tenham no seu DNA tecnologia e inovação.
