Lei Geral de Proteção de Dados Pessoais: entenda as principais regras
Foi publicada no Diário Oficial da União de 15 de agosto de 2018 a Lei nº 13.709/2018, que trata sobre a proteção de dados pessoais, chamada de “Lei Geral de Proteção de Dados Pessoais” (ou “LGPD”). A lei entrará em vigor 18 meses após a data da sua publicação.
Elaborada para ser um marco legal no que diz respeito à proteção, uso e tratamento de dados pessoais e informações, e proteção à liberdade e privacidade das pessoas, a Lei era uma reinvindicação de várias entidades da sociedade civil.
O Brasil passa, então, a fazer parte do rol de países que contam com disciplina legal para a proteção de dados pessoais – entre eles, os países da União Europeia, nos quais a nova “GDPR” (Lei Europeia de Proteção de Dados Pessoais) entrou em vigor recentemente.
Entenda os principais pontos da Lei brasileira e veja como ela deverá influenciar a forma como sua empresa lida com dados pessoais
Com a entrada em vigor da LGPD, toda pessoa natural (também conhecida como pessoa física) e jurídica que realize operações de tratamento de dados pessoais, seja por meio físico ou digital, fica obrigada a obter prévio consentimento dos titulares.
Importante esclarecer que a lei não protege dados de pessoas jurídicas, somente dados de pessoas naturais.
Em linhas gerais, as empresas terão que avaliar a necessidade e a proporcionalidade no uso de dados pessoais, como nome, RG, CPF, geolocalização, gostos, interesses, enfim, qualquer dado que identifique ou possa identificar uma pessoa, mudando uma rotina de coleta massiva de dados para uma coleta mínima e com finalidades específicas.
A expressão “tratamento de dados” se refere a qualquer operação na qual são usados dados pessoais, coletados por qualquer via, e que envolvam atividades de reprodução, transmissão, distribuição, modificação, processamento e arquivamento de dados, entre outras atividades.
Já a expressão “dados pessoais” se refere a qualquer informação relacionada à pessoa natural identificada ou identificável, como por exemplo: nome, endereço de residência, e-mail, número de cartão de identificação, dados de localização (pelo celular), endereço IP, testemunhos de conexão (cookies), dentre outros.
Para “dados pessoais sensíveis”, como dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, a Lei prevê a necessidade de um consentimento específico e destacado do titular, para evitar formas de discriminação.
Situações aplicáveis e pessoas obrigadas
Sem dúvidas, o uso de dados pessoais por empresas no comércio virtual e nas redes sociais foi um dos principais motivos impulsionadores da elaboração e aprovação da Lei Geral de Proteção de Dados Pessoais.
Entretanto, a Lei não se restringe a pessoas jurídicas e nem somente à coleta de dados na Internet.
A Lei se aplica “a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados” (art. 3º).
Isto quer dizer que estão obrigados a seguir a Lei:
- Pessoas físicas;
- Empresas e outras pessoas jurídicas;
- Entidades estatais;
- Todos que usem dados pessoais de terceiros, na Internet ou em qualquer outro meio.
Dessa forma, empresas ou outras pessoas jurídicas que coletam dados pessoais de clientes, parceiros, seus sócios ou diretores, empregados ou quaisquer outras pessoas naturais – sejam os dados fornecidos por meio verbal, escrito ou com cópia de documento; por meio físico ou virtual – devem estar atentas às exigências dessa Lei.
A Lei será aplicável a quaisquer pessoas, mesmo que estejam localizadas no exterior, se a operação de tratamento de dados for realizada no território nacional, se referir-se a pessoas aqui localizadas, se a atividade de tratamento tiver por objetivo ofertar ou fornecer produtos ou serviços a pessoas localizadas em território nacional ou, ainda, se os dados forem coletados no território nacional.
Outras obrigações das pessoas que realizam tratamento de dados são:
- disponibilizar, de forma clara, adequada e ostensiva, informações sobre o uso que será feito dos dados, inclusive sobre a duração e finalidade do uso;
- informar sobre os direitos do titular dos dados, tais como: o direito de acesso aos dados; e o direito ao requerimento de confirmação, correção, eliminação ou portabilidade dos dados;
- destacar, no contrato, a cláusula em que o titular dos dados fornece seu consentimento, nos casos em que o consentimento for obtido por escrito;
- eliminar os dados, depois de atingida a finalidade do tratamento deles – somente sendo autorizada a conservação dos dados nos casos excepcionais listados no art. 16 da LGPD;
- adotar medidas de segurança para proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito;
- comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares; entre outras obrigações.
Consentimento e acesso
O ponto central da Lei Geral de Proteção de Dados Pessoais é a exigência de que o tratamento de dados deverá ser precedido de consentimento dos seus titulares.
Os titulares dos dados podem, a qualquer momento, requerer confirmações, acesso, correções ou eliminações de dados.
Tratamento restrito
O tratamento de dados deverá atender a princípios como: boa fé, finalidade, adequação, necessidade, transparência, qualidade dos dados e segurança, entre outros.
Isto significa dizer, entre outras coisas, que empresas não podem coletar e usar dados em qualquer hipótese ou para qualquer finalidade.
No que diz respeito ao princípio da finalidade, destacamos o art. 7º, o qual dispõe que o tratamento de dados só pode ocorrer em casos específicos, entre eles:
- para o cumprimento de obrigação legal ou regulatória pelo responsável;
- quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual é parte o titular, a pedido do titular dos dados;
- no caso da Administração Pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em lei;
- para o exercício regular de direitos em processo judicial, administrativo ou arbitral; entre outros casos.
Casos em que a lei não se aplica
A Lei Geral de Proteção de Dados Pessoais não se estende a operações realizadas fora do território nacional brasileiro, operações sem propósito de fornecimento de bens ou serviços, tampouco em casos de dados usados para fins exclusivamente jornalísticos, artísticos ou acadêmicos; entre outras hipóteses.
Transferência internacional
A transferência internacional de dados também foi restringida a casos excepcionais, como os seguintes:
- autorização concedida pela autoridade nacional competente;
- consentimento específico do titular dos dados para a transferência internacional;
- transferência para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto na LGPD brasileira; entre outras possibilidades.
Sanções em caso de descumprimento
A pessoa física ou jurídica que realize tratamento de dados e que não atender às normas previstas na LGPD fica sujeita a consequências administrativas, tais como:
- advertência;
- multa de até 2% do faturamento, em caso de pessoa jurídica de direito privado, até o limite de R$50 milhões por infração;
- bloqueio e/ou eliminação dos dados pessoais tratados na infração; entre outras sanções.
Como a criação da agência que se encarregaria de fiscalizar o cumprimento da lei e aplicar tais punições foi vetada, é de se esperar que seja criada ainda dentro do prazo de 18 meses para a entrada em vigor da LGPD.
De qualquer forma, é recomendável que todos providenciem as mudanças necessárias à implantação das normas sobre proteção de dados, treinem suas equipes para requerer expressamente aos clientes a permissão para coletar dados, e informar de que maneira eles serão usados.
Nos casos em que a empresa aja em parceria com outras empresas (parceiros, fornecedores de software etc.), não havendo a possibilidade de fornecer por conta própria os dados e/ou realizar as providências requeridas pelos titulares, a empresa deve comunicar expressamente que não é agente de tratamento dos dados e indicar, sempre que possível, o agente; indicando ainda as razões de fato ou de direito que impedem a adoção imediata da providência.
O cumprimento da LGDP precisará ser comprovado por todos os agentes que tratarem dados pessoais, diante do princípio da prestação de contas e por meio da elaboração de Relatório de Impacto de Proteção de Dados, no qual os controladores deverão avaliar o ciclo de vida completo do tratamento de dados pessoais (contemplando desde a coleta, o uso, armazenamento, compartilhamento e exclusão dos dados).
Nesse sentido, surge com fundamental importância a designação do Encarregado de Proteção de Dados (o Data Protection Officer – DPO), o responsável por criar a cultura de proteção de dados dentro das companhias, que atuará como canal de comunicação entre o controlador, os titulares dos dados e a autoridade nacional.
A equipe da ANGARE E ANGHER está à disposição para quaisquer esclarecimentos sobre o tema.
Dra. Anne Joyce Angher, OAB/SP n° 155.945, é Especialista em Direito Processual Civil, Especialista em Direito Tributário e Direito Processual Tributário, Pós-graduada em Contratos Internacionais e Compliance. Atua nas áreas de Direito Civil, Intelectual, Empresarial, Societário e Direito do Comércio Internacional.