Blog

LGPD – O QUE MUDA E COMO SE ADEQUAR

Notícias

Já ouviu falar do escândalo do vazamento de dados do Facebook pela empresa Cambridge Analytica, que interferiu diretamente nas eleições americanas, quando se elegeu o atual presidente Donald Trump? Se sim, então já está por dentro do assunto do momento: LGPD e proteção de dados!

Aprovada pelo Senado Federal em 10/07/2018, o PLC 53/18 deu vez à Lei Geral de Proteção de Dados (LGPD), Lei n. 13.709/18, que, como o nome já diz, trata da proteção de dados pessoais. Com vacatio legis prorrogada para 18 meses, a LGPD lei entrará em vigor em 16/08/2020.

Conforme reza seu artigo primeiro, a lei “dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural”.

Com esta lei, o Brasil passa a fazer parte do grupo de países que possuem uma legislação para a proteção de dados, a exemplo do GDPR – General Data Protection Regulation, da União Europeia. Este último, inclusive, foi a grande inspiração da LGPD.

Mas afinal, porque a preocupação em proteger os dados pessoais?

Dado pessoal é toda informação capaz de identificar ou possibilitar a identificação de uma pessoa natural. O cruzamento de dados pessoais, através da análise de comportamento em redes sociais e registros de acesso em aplicações e informações de geolocalização, por exemplo, pode traçar o perfil do indivíduo, seus gostos e interesses, direcionando um produto ou serviço, com alta possibilidade de conversão em venda ou contratação.

A monetização dos dados pessoais, então, elevou os “dados” ao status de commodities, possibilitando modelos de negócios altamente rentáveis, com grande valor comercial e estratégico. Por esta razão, em maio 2017, os dados foram taxados como o novo recurso mais valioso do mundo, superando o petróleo, uma vez que as cinco mais valiosas empresas globais lidam com dados, sendo Alphabet, Amazon, Apple, Facebook e Microsoft[1].

Vislumbrando a necessidade de proteger este bem da vida (direito fundamental garantido pela Constituição) cada vez mais explorado, é que nasceu a LGPD, que além de trazer direitos e deveres ainda criou a ANPD – Agência Nacional de Proteção de Dados, órgão responsável pela fiscalização da aplicação da LGPD.

A partir do conhecimento do objetivo da LGPD, passa-se a questionar como será feita, e fiscalizada, esta proteção. Aplicável a dados no mundo físico e digital, o que a difere do Marco Civil da Internet[2], a LGPD deve ser aplicada a pessoas físicas ou jurídicas, de direito público ou privado, que fazem o tratamento de dados pessoais.

Tratamento, segundo definição da própria lei, é “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”[3]. Assim, o tratamento vai desde a coleta de dados até a sua eliminação.

Desta forma, o que se espera daquele que trata os dados é que este mantenha o registro de todas as suas operações e que também comprove estar fazendo o tratamento de acordo com os ditames da LGPD, previstos no artigo 7º e seus incisos, para dados pessoais, e artigo 11 e seus incisos, para dados pessoais sensíveis. Isso implica dizer que o arquivo de um simples dado pessoal, mesmo que não seja processado, precisará estar amparado por uma das bases legais previstas na Lei.

Podemos resumir as bases legais permissivas para tratamento de dados como sendo:

  • Consentimento do titular dos dados;
  • Cumprimento de obrigação legal;
  • Execução de políticas públicas;
  • Estudos por órgãos de pesquisa;
  • Execução de contrato/diligências pré-contratuais;
  • Exercício regular de direitos;
  • Proteção da vida;
  • Tutela da saúde;
  • Interesses legítimos do controlador/terceiro;
  • Proteção ao crédito;

A partir disso, vê-se que a LGPD não atinge diretamente dados de pessoa jurídica, documentos sigilosos ou confidenciais, segredos e planos de negócio, algoritmos, softwares, entre outros documentos e informações que não sejam relacionadas a pessoa natural identificada ou identificável. É importante fazer esta ressalva, uma vez que a LGPD não veio para inviabilizar a atividade econômica no Brasil. Pelo contrário, através do desenvolvimento de uma economia digital confiante e segura, a intenção é alavancá-la.

Tal adequação atingirá diretamente o modus operandi das empresas e até mesmo de pessoas físicas que fazem tratamento de dados, desencadeando uma verdadeira mudança do mindset operacional, com consequente educação digital. A lei também prevê a obrigatoriedade de planejamento para minimizar riscos de vazamento, como investimento em cybersegurança e desenvolvimento de políticas de segurança, bem como a elaboração de relatório de impacto à privacidade.

Será necessário também nomear um encarregado para a proteção de dados, que garanta o compliance. Até mesmo os contratos deverão ser adequados, para deixar claro ao cliente a forma de tratamento de dados e sua total concordância com os procedimentos, sem cláusulas confusas e letras miúdas. O cliente, por sua vez, pode revogar a autorização para a utilização de seus dados, ou autorizar o uso de apenas alguns deles, bem como pleitear, inclusive judicialmente, que seja explicitada toda forma de tratamento de seus dados, para saber se está de acordo ou não.

Há, porém, casos de exclusão de aplicação de LGPD, quais sejam:

  • Utilização de dados por pessoa física para fins exclusivamente particulares e não econômicos;
  • Para utilização com fins exclusivamente jornalísticos e artísticos ou acadêmicos;
  • Utilização de dados para fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais;
  • Os dados provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto na LGPD;

As penalidades para o caso de descumprimento das normas da LGPD são administrativas, variando de advertência e multa de 2% do faturamento da pessoa jurídica até o limite de R$ 50.000.000,00 (cinquenta milhões de reais), por infração cometida.

Enfim, os desafios são muitos, e o tempo para adequação está se esgotando, uma vez que se está a falar de uma lei de aplicação imediata. É preciso começar.


[1] Disponível em https://www.economist.com/leaders/2017/05/06/the-worlds-most-valuable-resource-is-no-longer-oil-but-data, acesso em 23/09/2019.

[2] Lei n. 12.965, de 23 de abril de 2014, que regulamenta garantias, direitos e deveres para o uso da internet no Brasil.

[3] Art. 5º, X.

keyboard_arrow_up Ícone Whatsapp PNG