LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS- LEI 13.709/2018

1. INTRODUÇÃO

1. De acordo com o dicionário online DICIO., a palavra “dados” é um substantivo masculino no plural, que significa o conjunto de traços que caracterizam uma pessoa. Em 2019, em um grande evento realizado em São Paulo/SP o CEO da empresa Mastercard, Ajay Banga, afirmou que “os dados são o novo petróleo, a diferença é que o petróleo irá acabar um dia” . A afirmação que ficou mundialmente conhecida passou rapidamente a ser repetida por diversos consultores, executivos e interessados na transformação digital. Em verdade, a frase foi criada por Clive Humby, um matemático de Londres especializada na ciência dos dados e que vem cada dia mais sendo utilizada pelos executivos de diversas áreas. E a pergunta é, o que um conjunto de dados que caracterizam uma pessoa tem a ver com o petróleo? O petróleo digital, como também são chamados os dados no mundo corporativo, são a ponte entre os fornecedores de produto e/ou serviços e o consumidor final. Ao fazer uma simples pesquisa em um site de buscas, seja pelo navegador de internet instalado no seu computador ou seu smartphone, rapidamente aparecerão o resultado das buscas, não só no momento da pesquisa, mas também por dias seguidos. Uma página da internet acessada te guia para centenas de outras com conteúdos parecidos. Coincidência? No mundo da tecnologia essa coincidência é chamada de algoritmos. Segundo o Wikipédia, Em ciência da computação, um algoritmo é uma sequência finita de ações executáveis que visam obter uma solução para um determinado tipo de problema. Os algoritmos são mecanismos da inteligência artificial que ajudam a entender e mapear o comportamento humano. Mas e a sua privacidade? O que as empresas ganham mapeando suas pesquisas em redes sociais ou sites de busca? Retomando a comparação entre o petróleo e o dados relacionados às pessoas, no que se refere ao petróleo, uma das maiores dificuldades é localizar as 4 reservas, já em relação aos dados, localizá-los é tarefa fácil, a principal preocupação hoje é como guarda-los de forma segura ? Por quem serão utilizados e com qual finalidade? Segundo Patrícia Peck Pinheiro, o modelo atual de negócios da sociedade digital, em que a informação passa a ser moeda de troca do usuário para acessar determinados bens e serviços, faz com que seja necessário uma lei que garanta a proteção de dados pessoais. Na Europa, a preocupação com a proteção dos dados pessoais iniciou há muito tempo e continente mais antigo do mundo foi pioneiro ao criar um conjunto de leis para proteger à privacidade dos dados, o Regulamento Geral sobre Proteção de Dados (RGPD). O regulamento foi aprovado em 2016 e entrou em vigor em 2018. O RGPD serviu como inspiração para criação da LGPD no Brasil. Porém, em que pese o RGPD ter sido redigido e aprovado pela União Europeia, o regulamento tem impacto em todo mundo, dado seu caráter global. Segundo pesquisa divulgada pelo site brasileiro PROTESTE!, em janeiro de 2020, um ano após a entrada em vigor do RGPD, a Comissão Europeia divulgou dados sobre as mudanças promovidas na sociedade europeia. De acordo com o órgão, 67% dos cidadãos do bloco ouviram falar sobre a nova regra. Além disso, um outro levantamento mostrou que 57% dos entrevistados sabiam da existência de uma autoridade pública responsável pela proteção de dados pessoais. Revelou ainda que, mais de 144 mil reclamações por supostas violações ao RGPD foram protocoladas junto às autoridades de proteção de dados da UE. Dessas reclamações, cerca de 89 mil se transformaram em notificações contra empresas, que geraram um total de 56 milhões de euros em multas. Em um outro relatório, divulgado pelo Capgemini Research Institute, também por ocasião do aniversário de um ano da entrada em vigor do RGPD, constatou-se que apenas 28% das empresas atingiu a conformidade com o novo regulamento. A Lei Geral de Proteção de Dados Pessoais- LGPD – conta com 65 artigos e foi sancionada em agosto de 2018, entrando em vigor em agosto de 2020. Sendo 5 que as penalidades previstas na lei só poderão ser aplicadas a partir de agosto de 2021. O principal objetivo desta lei é proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. trazer segurança jurídica, com a padronização de normas e práticas, visando a proteção dos dados das pessoas naturais. A LGPD afeta diretamente diferentes setores e serviços de todos os cidadãos brasileiros sejam como indivíduo, empresa ou governo.

2. QUEM SÃO OS SUJEITOS DA LEI GERAL DE PROTEÇÃO DE DADOS?

a. Dos Titulares Do Direito O direito de proteção aos dados aplica-se a qualquer pessoa natural.

b. Dos Responsáveis Pelo Tratamento Dos Dados Os dados podem ser tratados por pessoa física ou jurídica de natureza privada ou órgão público. Sim, a LGPD prevê também obrigação da adequação do dos órgãos públicos à proteção dos dados pessoais. No que se refere ao tratamento de dados por pessoas físicas, cabe aqui uma ressalva. Só caberá aplicação da LGPD para as pessoas físicas caso o tratamento dos dados seja para fins comerciais/lucrativos. No tratamento dos dados por pessoa física sem finalidade econômica não se aplica à LGPD. Frisa-se que essa diferenciação cabe apenas para pessoas físicas, nos casos das pessoas jurídicas sejam elas com ou sem fins lucrativos e que fizerem tratamento de dados, deverão respeitar a LGPD, ou seja, as Igrejas ou ONG’s devem se adequar também à LGPD. No tratamento de dados, existem duas figuras fundamentais, o controlador e o operador de dados: 6 O controlador é a pessoa física ou jurídica que determina o tratamento de dados. É ele que determina as finalidades do tratamento dos dados. Já operador é quem trata os dados a mando do controlador. No dito popular, quem manda é o controlador, enquanto quem obedece é o operador. Tanto o controlador quanto o operador só poderão tratar dados se existir uma base legal, ou seja, um amparo legal, previsto na própria LGPD.

3. HIPÓTESES AUTORIZATIVAS DE TRATAMENTO DE DADOS

A LGPD trouxe 10 hipóteses autorizativas para tratamento de dados. E para cada finalidade deverá haver uma base legal. Cabe aqui ressaltar que, a base legal é destinada para cada finalidade de tratamento do dado e não uma base legal para cada dado. Veja, a lei não traz a obrigatoriedade de existir uma base legal para cada tratamento, porém o objetivo da LGPD é trazer maior segurança ao titular do dado, então havendo uma justificativa para cada tratamento, o titular sentirá maior segurança em autorizar o armazenamento de um dado. Seguem as hipóteses previstas de tratamento dos dados

a. Consentimento: O consentimento nada mais é do que a autorização do titular para que a empresa trate o dado. De acordo com a LGPD, o consentimento deve ser livre, informado e inequívoco. Livre pois o acesso do titular até determinado ponto pode ser prescindível de autorização e a partir de outro ponto necessário. O consentimento deve ser solicitado no momento oportuno, esse é o conceito de consentimento granular. Informado porque o titular deve saber para qual finalidade está consentindo o tratamento do seu dado. Inequívoco pois o titular não pode ficar confuso quanto ao seu consentimento, por isso deve ser livre e informado, de forma clara, para que não haja qualquer imprecisão.

b. Obrigação legal: É a previsão legal do tratamento de dados por determinado motivo, nesses casos o consentimento do titular é prescindível. Um exemplo de obrigação legal é a obrigatoriedade de os hospitais guardarem os prontuários médicos dos pacientes por determinado período de tempo.

c. Políticas públicas: Autoriza o tratamento de dados que estejam relacionados ao objetivo de realizar políticas públicas. Essas políticas públicas deverão estar previstas em algum ato normativo. Essa base legal é de uso exclusivo da administração pública.

d. Pesquisa: Nesta hipótese, não há necessidade de consentimento do titular dos dados quando a finalidade é pesquisa. Porém, a coleta de dados para fins de pesquisa só é cabível para órgãos de pesquisa. De acordo com a LGPD, para que o órgão seja considerado de pesquisa precisa ter a expressão pesquisa em seu objeto social, CNPJ ou contrato social.

e. Execução de contrato: Para o cumprimento de uma obrigação contratual não se faz necessário o consentimento para o tratamento dos dados. Um exemplo clássico se dá nos casos de pedido de comida por aplicativo em que o aplicativo repassa ao restaurante e ao entregador seus dados para que seja possível a execução do contrato.

f. Exercício regular do direito processual: No exercício do direito de acesso à justiça ou mesmo em processos administrativos ou arbitrais não é necessário o consentimento do titular do dado para seu tratamento.

g. Proteção à vida: é possível o tratamento de dados sem consentimento do titular para salvar vida ou perante a um risco concreto de ameaça à vida ou a incolumidade física da pessoa.

h. Tutela da saúde: Essa base legal tutela a possibilidade de profissionais da área da saúde, prestadores de serviço de saúde ou autoridades sanitárias a tratarem dados com o objetivo de tutelar a saúde das pessoas. Essa base legal é bastante subjetiva em seu texto e além do fato de que os dados tratados pelas pessoas da área da saúde na grande maioria das vezes são dados sensíveis, que exigem maior cautela ao serem manuseados.

i. Proteção do crédito: Essa base legal que autoriza o tratamento de dados para proteção do crédito contra os maus pagadores e é utilizada para instituições financeiras.

I. Legítimo interesse: Essa base legal vem para permitir o tratamento de dados para os interesses legítimos das empresas, para que promova seus bens e seus serviços. Para tanto, a empresa deverá analisar quatro requisitos: a) legitimidade do interesse; b) necessidade; c) balanceamento (legitima expectativa e d) salvaguardas.

4. O QUE É UM TRATAMENTO DE DADO?

O tratamento de dado pode ser definido – e aqui o verbo pode é proposital, tendo em vista que a lei não restringiu quais são as reais atividades que caracterizam o tratamento de dados- como toda operação realizada com os dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão pu extração, nos termos do artigo 5,X, da Lei.

a. Dados pessoais: O dado pessoal é tudo que identifica ou que possa identificar uma pessoa natural, tais como nome, CPF, e-mail, identidade, título de eleitor. Esses são dados identificáveis. Porém, a lei em seu artigo 5º traz o conceito que dados pessoais são todos aqueles dados que identificam ou possam identificar uma pessoa. Mas o que seriam dados que possam identificar uma pessoa? Segundo a professora Mariana de Toledo, para a expressão “possam identificar” pode-se utilizar a teoria do quebra-cabeça, na qual uma peça isolada não significa nada, mas a junção de algumas peças monta o quebra-cabeças. E é assim no mundo da informação. Muitas vezes um dado isolado não pode ter qualquer significado, porém unido a outros pode revelar uma identidade, um indivíduo. Portanto, esses dados, nessa condição, também são dados pessoais. Dentre os dados pessoais existe a distinção entre dados pessoais comuns e dados pessoais sensíveis.

b. Dados sensíveis Os dados sensíveis são aqueles que trazem em sua essência certa vulnerabilidade, isso porque a sua natureza pode trazer discriminação pessoal. Esses dados sensíveis foram previstos de forma taxativa pela LGPD e são dados relacionados à cor, etnia, orientação política, orientação religiosa, orientação sexual, filiação a partido político, econômico, filosófico, informações sobre a vida sexual da pessoa, informações de saúde, informações genéticas e biométricas.

5. PRINCÍPIOS NORTEADORES DA LEI GERAL DE PROTEÇÃO DE DADOS ]

Os princípios são o fundamento da norma jurídica e com a LGPD não poderia ser diferente. O artigo sexto da Lei elencou quais são os princípios basilares do direito à privacidade dos dados, sendo eles: boa-fé; finalidade; adequação; necessidade; livre acesso; qualidade dos dados; transparência; segurança; não discriminação; responsabilização e prestação de contas.

a. Boa-fé: a boa-fé será o princípio do ponto de partida dos órgãos de fiscalização para com as empresas e órgãos públicos no tratamento dos dados.

b. Finalidade: qualquer pessoa que for tratar um dado deverá ter um motivo, uma finalidade pela qual está tratando aquele dado. Esse princípio tem como finalidade justamente evitar que as empresas saiam coletando dados sem qualquer necessidade, pelo simples fato de mantê-los em sua base para uma necessidade futura, leia-se aqui angariar alguma vantagem sobre determinado indivíduo, um cliente em potencial.

c. Adequação: para cada finalidade do dado existe um tratamento adequado.

d. Necessidade: Só podem ser coletados dados necessários. Para cada finalidade, existe um meio adequado de tratamento. A maioria das empresas coleta dados além do necessário, ou seja, sem finalidade definida. Os dados que são coletados sem a devida necessidade são chamados de ativos tóxicos. Os princípios da Necessidade, da Adequação e da Finalidade caminham juntos.

e. Livre acesso: este princípio está bastante ligado ao direito do titular do dado, pois a empresa tem a obrigação de fornecer ao titular do dado livre acesso aos seus próprios dados. O titular pode questionar se a empresa trata aquele dado, quais são dos dados que ela possui e para qual finalidade. É necessário garantir que o titular tenha acesso de forma simples, fácil e gratuita.

f. Qualidade dos dados: os dados devem estar sempre o mais atualizado e completo possível. As empresas devem criar mecanismos para manter essa base dados sempre atualizada.

g. Transparência: pode ser traduzida como um dos pilares da LGPD, pois o grande objetivo da lei é justamente esse, dar transparência ás pessoa naturais de como seus dados estão sendo tratados e para qual finalidade. Este também seria o conceito de autodeterminação informativa. Você precisa 11 ter a consciência, você precisa ter meios de buscar essa consciência. A empresa precisa ser transparente. E o que a empresa ganha com isso? O que está intrinsicamente ligado à confiança.

h. Segurança: a LGPD está diretamente ligada ao princípio da segurança. A segurança da informação. São os meios técnicos que protegem que terceiros não autorizados não tomem conhecimento de determinada informação.

i. Discriminação: Os dados não podem ter finalidade discriminatória. Logo, se faz necessária a cautela do momento em que os dados estiverem sendo tratados não haja qualquer meio discriminatório.

j. Prevenção: como base no princípio da prevenção, os responsáveis pelo tratamento dos dados criam estratégias para evitar um dano futuro. Evitar danos aos titulares antes que ocorram.

6. RESPONSABILIDADE CIVIL

O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo. Segundo o artigo 42 da Lei Geral de Proteção de Dados, o operador ou o controlador pelo tratamento dos dados será responsabilizado em caso de danos causados, ambos de forma solidária. O operador de dados responderá solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador. Já o controlador, caso esteja diretamente ligado ao tratamento do dado, responderá solidariamente. Cabe ressaltar que os gentes não responderão pelos danos causados ao titular do dado quando provarem que não realizaram o tratamento de dados pessoais que lhes é atribuído; ue, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro. A LGPD previu ainda a possibilidade da inversão do ônus da prova em favor do titular quando o magistrado entender pela verossimilhança da alegação; hipossuficiência para fins de produção de prova pericial ou quando a produção da prova for excessivamente onerosa ao titular.

7. ÓRGÃO FISCALIZADOR A ANPD- AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS

o órgão de esfera máxima, na via administrativa, responsável por fiscalizar a correta adoção da coleta, tratamento e compartilhamento de dados pessoais – essencial para o bom andamento e a correta implementação da LGPD no país. Seu objetivo, portanto é fiscalizar, controlar e, se for o caso, multar as empresas que lidam com dados pessoais e privacidade, Porém, a ANPD não elimina o poder de fiscalização de outros órgãos, apenas define a limitação de suas competências. Dentre as atribuições da ANPD, as principais são: Estabelecer os padrões técnicos para o cumprimento da lei; Determinar os requisitos necessários para a elaboração dos Relatórios de Impacto; Fiscalização e aplicação de advertências, multas e demais sanções; Celebrar compromissos com as empresas; Comunicar às autoridades competentes as infrações penais das quais obtiver o conhecimento; Receber e processar toda e qualquer reclamação de pessoa física titular de dados; Entretanto, conforme previsão legal, a ANPD só passará a fiscalizar as empresas e aplicar as penalidades por descumprimento a partir de agosto de 2021. Atualmente, o PROCON e o Ministério Público estão atuando em prol da aplicação da lei.

8. PENALIDADES

Com a entrada em vigor da Lei Geral de Proteção de Dados, espera-se que todas as pessoas físicas ou jurídicas que façam o tratamento de dados cumpram voluntariamente a lei e sigam seus requisitos. Porém, em caso de organizações infratoras, existem punições previstas no texto legal, que vão desde uma advertência até uma multa de até 50 milhões de reais por infração. O intuito da lei é criar uma cultura de privacidade no ambiente de negócios brasileiro. Por essa razão, as penalidades sempre seguirão critérios objetivos, de modo que a valorização da cultura de proteção de dados seja incentivada, enquanto a de displicência, punida. Se o controlador (empresas e organizações) não cumprir com o exigido, a ANPD é a responsável por aplicar advertências, penalidades e, dependendo da gravidade do caso, multas, como veremos a seguir:

a. Advertência : A ANPD pode advertir formalmente uma organização a fim de permitir que ela corrija as infrações sem maiores consequências. Será fornecido um prazo para adoção das medidas corretivas determinadas pelo órgão.

b. Multa simples O valor da multa será de até 2% do faturamento da pessoa jurídica no seu último exercício. O teto será de R$ 50 milhões por infração e os valores das multas arrecadadas com a fiscalização da ANPD, em conformidade com a Lei Geral de Proteção de dados, serão destinados ao Fundo de Defesa de Direitos Difusos.

c. Multa diária Além da multa simples, poderá ser instituída uma multa diária. O limite continua sendo de R$ 50 milhões por infração.

d. Publicitação da Infração: Divulgação pública da infração da empresa, nos meios de comunicação pertinentes, explicitando os delitos cometidos em toda a sua extensão.

e. Bloqueio dos Dados Pessoais Os dados a que se referirem à infração serão bloqueados até que as autoridades competentes solucionem o caso. Impossibilitando o manejo e, por consequência, qualquer tipo de atividade ligados a eles.

f. Eliminação de Dados Pessoais Os dados que caracterizaram a infração deverão ser apagados do sistema da empresa, ocasionando na perda de todo investimento efetuado na captação de tratamento desses dados.

9. A APLICABILIDADE DA LGPD

O artigo 3º da lei prevê que a LGPD se aplica a qualquer operação de tratamento de dados realizada por pessoa natural ou jurídica de direito público ou de direito privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que: a operação seja realizada no território nacional; a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou tratamento de dados de indivíduos localizados em território nacional. A aplicação da lei tem abrangência extraterritorial, isso porque seus efeitos são internacionais nos casos em que os dados forem tratados fora do Brasil, desde que a coleta tenha ocorrido em território nacional ou nos casos de produtos e serviços estrangeiros ofertados às pessoas residentes ou que se encontrem no Brasil. Assim, qualquer empresa estrangeira, com sede no Brasil ou fora, que preste serviços ou ofereça produtos dentro do Brasil deverá respeitar e cumprir as exigências da LGPD.

10. O QUE ALTERA NA PRÁTICA NO DIA A DIA DAS PESSOAS?

Os dados das pessoas naturais são o petróleo digital e uma das maiores preocupações é a forma em que as informações relativas a cada pessoa serão utilizados e armazenados e o mais importante que o titular do dado tenha plena consciência do tratamento. Para que toda a inovação tecnológica não de encontro aos direitos de liberdade e privacidade, sentiu-se a necessidade de conscientização da importância do direito de proteção dos dados pessoais no Brasil. E com fundamento no desenvolvimento econômico e tecnológico sustentável, inovação e liberdade de expressão, informação, comunicação e opinião nasceu a LGPD. Com todas as disposições da lei, as pessoas, físicas ou jurídicas, responsáveis pelo tratamento de dados passarão a ter mais responsabilidade na coleta, armazenamento e tratamento do dado. De acordo com o princípio da finalidade, necessidade e adequação os coletores dos dados só poderão solicitar o dado especifico para determinada finalidade, não havendo apenas a coletagem para estoque de arquivo base dados aleatoriamente. Ademais, nenhuma pessoa detentora do dado poderá utilizar-se da informação que possui para descriminar uma pessoa natural seja por questões políticas, religiosas, discursos de ódio ou finalidades econômicas. Por fim, a grande mudança com a vigência da LGPD é a necessidade das empresas comprovarem que estão cumprindo as determinações legais, seja por meio da emissão do Relatório de Impacto de Proteção de Dados, onde deve constar o ciclo de vida do tratamento dos dados pessoais e a indicação do fundamento que autoriza este tratamento, que poderá ser solicitado pelo órgão fiscalizador seja por meio da implementação medidas de segurança da informação visando à mitigação de eventuais incidentes, como o vazamento dos dados. No que se refere ao titular do dado, esse passa saber para qual finalidade está consentindo o uso do seu dado. A qualquer instante o titular do dado poderá questionar a finalidade seus dados e como estão sendo utilizados bem como revogar a autorização do uso dos seus dados. 16 Trata-se aqui da liberdade de oportunidade e conveniência do usuário de serviços de se manter ligado a determinada empresa. Dando ao consumidor maior liberdade, privacidade e respeito. O caminho de adequação à Lei Geral de Proteção de Dados pelas pessoas que tratam os dados pessoais é longo e merece atenção especial. Para população em geral é importante que sejam divulgadas as mudanças trazidas pela legislação para que façam aplicar seu direito.