É impossível iniciar a apresentação da Lei Geral de Proteção de Dados sem antes fazer um breve comentário do termo “Privacidade”.
A privacidade pode ser entendida como a vontade de controlar a exposição de informações acerca de si mesmo, baseada nos seus interesses, convicções e valores pessoais. Em resumo é a liberdade do indivíduo em decidir quais informações serão públicas ou privadas.
O direito à privacidade é um direito fundamental assegurado no art. 5º da Constituição Federal e consiste no direito de qualquer pessoa/cidadão ter suas informações pessoais preservadas.
O que motivou a criação da LGPD?
O tema da proteção de dados não é tão recente quanto parece, visto que a primeira lei sobre o assunto surgiu na Alemanha em 1970. E a partir daí, o debate se expandiu, até que em 2012, surge na Europa a General data Protection Regulation, a GDPR, que significa o Regulamento Geral Sobre Proteção de Dados.
Em 2013, o ex-técnico da CIA, revelou diversos esquemas de espionagem por parte dos Estados Unidos, relatando o uso inadequado de dados pessoais. Essa situação gerou uma grande repercussão, fazendo com que o Brasil acelerasse a criação do Marco Civil da Internet, com o objetivo de regular o uso da internet.
Mais tarde, em 2018, com o escândalo da empresa Cambridge Analytica, evidenciou como os dados recolhidos através do Facebook eram utilizados de maneira inapropriada pela companhia. Os dados informados, influenciaram ativamente as campanhas eleitorais dos Estados Unidos em 2016, até a saída do Reino Unido da União Europeia (Brexit),
Essa situação criou um alerta internacional para questões sobre o tratamento de dados pessoais e o impacto que a utilização irresponsável dos dados poderia impactar vários países e até mesmo suas democracias,
Dessa forma, a GDPR foi aprovada em 2016 e entrou em vigor em 2018, passando a regulamentar todo o tratamento de dados da União Europeia que por consequência acabou influenciando outros países a criarem seu próprio regulamento, inclusive o Brasil, que criou a Lei Geral de Proteção de Dados LGPD em 2018.
O que é a LGPD?
A Lei nº 13.709/2018, também chamada de Lei Geral de Proteção de Dados (LGPD) é um instrumento jurídico que objetiva a centralização das normas que se referem a coleta, armazenamento, tratamento e processamento de dados pessoais, sejam eles digitais ou físicos.
A LGPD estabeleceu normas mais rígidas em relação ao tratamento de dados por parte de pessoa natural e pessoa jurídica de natureza pública ou privada, determinando penalidades administrativas em caso de descumprimento ou má fé.
A quem se aplica?
A LGPD se aplica a toda pessoa natural ou jurídica de direito público ou privado que trate de dados pessoais, seja eles por meios físicos ou digitais.
O que é o tratamento de dados?
O inciso X do art. 5º da LGPD considera tratamento de dados qualquer atividade que utilize um dado pessoal na execução da sua operação, como, por exemplo: coleta, produção, recepção, classificação, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
O que são dados pessoais?
Dados pessoais são aqueles relativos à pessoa, de modo que possam identificar a pessoa ou tornar a pessoa identificável. São exemplos de dados pessoais o CPF, o RG, o endereço, e-mail, telefone e etc.
O que são dados pessoais sensíveis?
Conforme o art. 5º, inciso II da Lei Geral de Proteção de Dados os dado pessoais sensível são aqueles versem sobre:
[…] origem racional ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente a saúde ou a vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
Em resumo são todos aqueles dados que podem trazer algum tipo de discriminação quando tratados. Ou seja, são dados que possam implicar riscos e vulnerabilidades potencialmente gravosas aos direitos e liberdades fundamentais dos titulares.
Figuras no tratamento de dados
A LGPD estabelece alguns protagonistas envolvidos na proteção de dados pessoais. São eles:
· Titular: Pessoa física/natural;
· Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
· Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
· ANPD: Autoridade Nacional de Proteção de Dados Pessoais é o órgão da administração pública federal responsável por zelar pela proteção de dados pessoais e por implementar e fiscalizar o cumprimento da LGPD;
· Encarregado de dados (DPO): Atua como canal de comunicação entre controlador, os titulares dos danos e a ANPD. É também responsável por aceitar reclamações, comunicações dos titulares, prestar esclarecimentos, adotar providências e orientar funcionários e os contratados da entidade a respeito das práticas de segurança em relação aos dados pessoais;
Quais são os princípios que norteiam o tratamento de dados pela LGPD
Observados as figuras responsáveis pela segurança dos dados pessoais, vamos conhecer os princípios que norteiam a LGPD:
· Finalidade: coletar dados pessoais para fins legítimos, informando com clareza ousuário a finalidade da coleta (MALDONADO et al, 2019);
· Adequação: disponibilizar todas as informações sobre a coleta e uso de dados para o usuário de maneira honesta (MALDONADO et al, 2019);
· Necessidade: manter e utilizar apenas os dados essenciais, apagando-os quando deixarem de ser relevantes (MALDONADO et al, 2019));
· Livre acesso: ser capaz de apresentar ao usuário os dados e a forma como são processados ao ser requisitado (MALDONADO et al, 2019);
· Precisão: manter os dados precisos a todo o momento ou atualizando os dados errados ou imprecisos (MALDONADO et al, 2019);
· Transparência: o usuário deve ser informado de maneira clara e acessível sobre os riscos e direitos seus dados (MALDONADO et al, 2019);
· Segurança: tomar medidas técnicas e administrativas para proteger os dados de danos, furtos ou perdas (MALDONADO et al, 2019);
· Prevenção: tomar medidas preventivas para a proteção dos dados, evitando danos aos titulares (MALDONADO et al, 2019);
· Não discriminação: não utilizar os dados para nenhum fim discriminatório, ilícito ou abusivo, atendendo aos requisitos da lei (MALDONADO et al, 2019);
· Responsabilidade: adotas estes princípios e ter condições de provar sua adoção em todos os procedimentos da empresa (MALDONADO et al, 2019)
Como os dados pessoais podem ser tratados?
A LGPD foi criada com o objetivo de garantir a segurança de dados, respeitando a liberdade individual e a privacidade de cada um. Isso não sinifica que as empresas não poderão mais tratar dados pessoais, mas que deverão realizá-los com base nas hipóteses elencadas na legislação conjuntamente com os princípios (princípios acima mencionados).
Dessa forma, o tratamente de dados pessoais poderá ser realizado nas seguintes hipóteses (art. 7º, LGPD):
I – mediante o fornecimento de consentimento pelo titular;
II – para o cumprimento de obrigação legal ou regulatória pelo controlador;
III – pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;
IV – para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
V – quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
VI – para o exercício regular de direitos em processo judicial, administrativo ou arbitral, […];
VII – para a proteção da vida ou da incolumidade física do titular ou de terceiro;
VIII – para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
IX – quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais;
X – para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
Ciclo de vida dos dados
Os dados pessoais são coletados para atender a uma finalidade específica, durante esse processo ele cumpre sua função e depois de alcançada essse dado deixa de ser necessário e deve ser excluído, pois nesse momento o seu ciclo chegou ao fim (SEFMG, [entre 2020 e 2021]).
Vejamos as etapas do ciclo de vida dos dados:
· Coleta de dados: os dados são produzidos e coletados (SEFMG, [entre 2020 e 2021]);
· Armazenamento: os dados são armazenados em locais seguros, garantindo a integridade, confidencialidade e disponibilidade (SEFMG, [entre 2020 e 2021]);
· Processamento: os dados são tratadose processados por sistemasde informação (SEFMG, [entre 2020 e 2021]);
· Compartilhamento: as informações são compartilhadas dentro e fora da organização, com políticas de permissão e níveis de acesso (SEFMG, [entre 2020 e 2021]);
· Eliminação/preservação: conforme a importância dos dados para a organização, deverá ser avaliada a eliminação ou preservação dos dados, nesse caso preferncialmente anonimazados os dados preservados (SEFMG, [entre 2020 e 2021]).
As penalidades previstas pelo descumprimento da LGPD
A LGPD preve sanções administrativas caso os agentes de tratamento de dados cometam infrações a legislação, dessa forma a ANPD fica responsável pela fiscalização e pela aplicação de multas administrativas nesses casos. Importante salientar que além das sanções administrativas a empresas poderá sofrer com sanções da esfera cível e penal.
Vejamos as sanções administrativas previstas no art. 52 da LGPD:
I – advertência, com indicação de prazo para adoção de medidas corretivas;
II – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
III – multa diária, observado o limite total a que se refere o inciso II;
IV – publicização da infração após devidamente apurada e confirmada a sua ocorrência;
V – bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
VI – eliminação dos dados pessoais a que se refere a infração;
[…]
X – suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador
XI – suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
XII – proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Gostou desse conteúdo? Continue navegando e aproveite para conhecer nosso produto, controle de jornada com qualidade é IOPOINT.
TERNUS, Eduardo.
