O QUE É A LGPD OU LEI GERAL DE PROTEÇÃO DE DADOS?
BREVES COMENTÁRIOS SOBRE A LEI Nº 13.709, DE 14 DE AGOSTO DE 2018 (LEI GERAL DE PROTEÇÃO DE DADOS)
A LGPD é uma lei aprovada em agosto de 2018 que impôs regras sobre o tratamento de dados pessoais e que tem como finalidade proteger o direito à liberdade, privacidade e livre desenvolvimento dos cidadãos.
A lei não diz respeito apenas às informações mantidas em sistemas online, mas também em sistemas físicos, e papel.
Dados pessoais, segundo a LGPD, são quaisquer informações relacionadas à pessoa natural identificada ou identificável.
As regras da LGPD valem tanto para pessoas físicas quanto jurídicas (públicas e privadas) que controlem, guardem, tratem, armazenem etc., dados de pessoas físicas.
Qual importância da LGPD?
A criação da LGPD é importante para dar mais clareza quanto ao que pode e o que não pode ser feito no tratamento de dados pessoais.
Além dos usuários terem mais confiança em relação aos sistemas que coletam seus dados, as empresas podem ajustar seus processos com maior segurança jurídica.
Quais as principais determinações lei geral proteção dados?
Dado pessoal: é qualquer informação relacionada a pessoa natural identificada ou identificável.
Dado pessoal sensível: é uma informação pessoal “sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”.
Tratamento: se refere a “toda operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”.
A partir daí, a lei traz uma série de regras para o tratamento dos dados.
O artigo 7º, por exemplo, determina quais as hipóteses em que esse tratamento é permitido. São elas:
- Com o consentimento do titular;
- Para o cumprimento de obrigação legal ou regulatória pelo controlador;
- Pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis;
- Para a realização de estudos por órgão de pesquisa;
- Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
- Para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
- Para a proteção da vida ou da incolumidade física do titular ou de terceiro;
- Para a tutela da saúde, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
- Quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.
- Para a proteção do crédito.
Já o tratamento de dados pessoais sensíveis pode ocorrer em hipóteses ainda mais restritas, é claro, conforme determinado no artigo 11 da LGPD.
Os parágrafos deste artigo ainda impõem restrições à comunicação ou uso compartilhado de dados pessoais sensíveis com o objetivo de obter vantagem econômica.
Outra determinação importante da lei é o direito do titular ao acesso facilitado às informações sobre o tratamento de seus dados pessoais.
Ele tem o direito de saber qual a finalidade específica do tratamento, qual a forma e duração, quem e qual o contato do controlador, se há uso compartilhado e quais as responsabilidades dos agentes que realizam o tratamento.
Obs. Os dados sensíveis exigem uma atenção extra, pois qualquer falha no seu tratamento pode gerar danos ao cidadão.
Quando entrou em vigor a Lei Geral de Proteção de Dados?
A princípio, a LGPD entraria em vigor 18 meses após sua publicação, ou seja, em fevereiro de 2020.
Todavia, após algumas alterações da Lei, ela entrou em vigor em setembro de 2020, porém, as multas administrativas a serem aplicadas pela ANPD (Autoridade Nacional de Proteção de Dados) só entram em vigor em agosto de 2021.
Quais são os direitos do titular dos dados pessoais?
No seu artigo 2º, a Lei Geral de Proteção de Dados apresenta direitos a serem respeitados no tratamento dos dados, quais sejam:
- Respeito à privacidade;
- Autodeterminação informativa (você escolhe o que pretende compartilhar);
- Liberdade de expressão, de informação, de comunicação e de opinião;
- Inviolabilidade da intimidade, da honra e da imagem;
- Desenvolvimento econômico e tecnológico e a inovação;
- Livre iniciativa, a livre concorrência e a defesa do consumidor;
- Direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.
Além disso, de acordo com o art. 18, o titular dos dados pessoais tem direito a obter do controlador de dados (ex. empresa que detém os dados), a qualquer momento e mediante requisição, o seguinte:
- Confirmação da existência de tratamento;
- Acesso aos dados;
- Correção de dados incompletos, inexatos ou desatualizados;
- Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;
- Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
- Eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei;
- Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
- Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa.
O que acontece com quem descumprir a LGPD?
O capítulo VIII da LGPD traz disposições sobre a fiscalização e as sanções administrativas que incidem sobre quem não cumprir a lei:
- Advertência, com indicação de prazo para adoção de medidas corretivas;
- Multa simples, de até 2% do faturamento no seu último exercício, excluídos os tributos, limitada a R$ 50 milhões por infração;
- Multa diária;
- Publicização da infração após devidamente apurada e confirmada a sua ocorrência;
- Bloqueio dos dados pessoais a que se refere à infração até a sua regularização;
- Eliminação dos dados pessoais a que se refere à infração.
Segundo o artigo 55-J da LGPD, compete à Autoridade Nacional de Proteção de Dados (ANPD) a incumbência de fiscalizar e aplicar as sanções.
Como as empresas devem se preparar para a LGPD?
- Manter o sigilo de todas as informações obtidas de seus clientes;
- Manter computadores com antiviris e anti malware atualizados;
- Manter sigilo das senhas de acesso e estipular uma para cada funcionário operador de dados;
- Mapear e controlar o processo de tratamento de dados;
- Criar plano de ação em caso de vazamento de dados.
Quais as obrigações dos operadores de dados?
Os operadores de dados devem cumprir as seguintes obrigações sob pena de responderem civil e criminalmente pelo vazamento ou violação dos dados:
- Manter absoluto sigilo dos dados a que tiver acesso durante o tratamento;
- Não copiar os dados, não enviar para e-mail particular, não compartilhar e não divulgar sem a autorização expressa da empresa e do cliente;
- Tratar os dados com absoluta ética, respeito e atenção;
- Avisar imediatamente o encarregado de dados assim que tiver qualquer suspeita de violação ou vazamento de dados.
Sabrina Zamana dos Santos, advogada-sócia do Ferreri Sociedade de Advogados desde 2010, mestre em Direito Constitucional pela PUCSP, especialista em Direito Civil e Processual Civil pela UNIFAAT, e pós-graduanda em Direito Tributário pela PUCMG.