Lei Geral de Proteção de Dados – LGPD. Uma breve análise.
- Criado em 27/12/2019 Por Eduardo Scalon
A Lei Geral de Proteção de Dados (Lei 13.709/2018) foi criada para estabelecer regras mais rígidas de controle dos dados pessoais. Desde sua promulgação, tem sido alvo de constantes análises. De acordo com pesquisas efetuadas, até agora a maior parte das empresas afetadas não está pronta para se adequar às novas regras.
Sua promulgação ocorre em um momento de preocupação com vazamento de dados de usuários de redes sociais. Uma rápida busca nas notícias, permite verificar a grande quantidade de vazamentos de dados ocorridos rotineiramente. Um dos mais emblemáticos e recentes, envolvendo o Facebook, caso Cambridge Analytica (2018), culminou na aplicação de uma multa de 5 bilhões de dólares à empresa.
O objetivo da promulgação da lei, além aumentar a segurança dos dados e evitar que ocorram vazamento, é possibilitar identificação das entidades e pessoas no encargo de lidar com os dados.
Essa identificação auxilia no controle da aplicação da lei, como também na apuração de eventuais responsáveis pelos vazamentos.
A Lei é bem detalhada e cria diversos mecanismos de controle, além de regras para o tratamento de dados pessoais de terceiros.
Para quem precise se adequar às regras estabelecidas é fundamental uma leitura atenta do seu conteúdo e fazer as devidas modificações e adaptações em sua organização interna, mas a seguir serão apontadas questões relevantes.
O inciso X do art. 5º define tratamento de dados como a coleta, utilização, tratamento, armazenamento, processamento dentre outras condutas.
Portanto, o mero recebimento de algum dado de uma pessoa física já pode ser considerado como tratamento.
A lei determina algumas exclusões, logo não serão aplicadas as regras quando o tratamento for realizado:
I – por pessoa física sem fins econômicos;
II – para fins jornalísticos, artísticos e acadêmicos;
III – para fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais.
Com relação ao que deve ser considerado como dados, a legislação também traz definições.
Existem 3 tipos de dados previstos na Lei:
- dados pessoais – informação relacionada a pessoa natural identificada ou identificável;
- dado pessoal sensível – informações sobre origem racial ou ética, convicção religiosa, opinião política, filiação à sindicato ou a organização de caráter religioso, filosófico ou político, saúde ou vida sexual, dado biométrico ou genético e
- dado anonimizado – informação relativa a titular que não possa ser identificado.
A definição da lei é bem ampla, justamente para contemplar a maior quantidade possível de situações do cotidiano. Nesse aspecto, podemos citar alguns exemplos de sua aplicação.
Os currículos que sua empresa recebe para uma vaga de emprego, são dados pessoais que devem ser tratados e protegidos nos termos da lei. Da mesma maneira, o cadastro de uma loja, criado apenas para enviar promoções ou parabéns nas datas de aniversário de clientes, deve obedecer às regras da lei.
Portanto, a primeira e importante observação trata da necessidade de uma cuidadosa análise das práticas comericias e dos procedimentos internos de cada empresa, para identificar quais são os dados recebidos de terceiros.
Do consentimento para tratamento dos dados
O tratamento dos dados depende do consentimento do titular, que deverá ser expresso e inequívoco. Essa questão é fundamental na lei, o titular dos dados deve ter plena ciência de que seus dados serão tratados.
Cada empresa deverá tomar as devidas providências para que sempre obtenha o consentimento do titular dos dados, sua ciência de que seus dados serão armazenados e tratados nos termos da lei.
Se for escrito, o consentimento deverá constar de maneira destacada, sendo que o ônus da prova de que foram observadas as regras de consentimento cabe ao controlador.
Especial ressalva deve ser dada ao direito do titular de revogação do seu consentimento a qualquer momento, sem que possa ser criado qualquer empecilho para a revogação.
Existem algumas hipóteses em que o tratamento do dado poderá ser efetuado, ainda que ausente o consentimento do titular, que são:
· cumprimento de obrigação legal ou regulatória do controlador dos dados
· tratamento e uso compartilhado de dados, pela administração pública, necessários à execução de políticas públicas,
· para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
· quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
· para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
· para a proteção da vida ou da incolumidade física do titular ou de terceiro;
· para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
· quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais;
· para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente
As empresas devem observar no seu cotidiano a ocorrência das situações concretas acima descritas, para que seja possível tratar cada dado recebido nos exatos termos da lei.
Das regras do tratamento dos dados
Talvez o maior desafio do cumprimento das novas regras, seja justamente a criação ou adaptação de procedimentos já existentes de tratamento nas empresas.
Os responsáveis pelos dados devem analisar se o atual modo de armazenamento e tratamento dos dados está de acordo com a lei e, caso negativo, o que deverá ser modificado.
O tratamento dos dados deverá ser feito com base nos princípios da finalidade, adequação, necessidade, transparência e segurança, bem como, deverá ser garantido acesso ao titular dos dados acerca do tratamento efetuado.
Além disso, todas as operações de tratamento devem ser registradas, sendo que devem ser identificados os responsáveis pela operação de tratamento. A perfeita identificação visa justamente o pleno conhecimento do momento em que ocorre uma falha na proteção dos dados, qual foi a falha, sua natureza técnica, assim como seu responsável.
A lei estabelece dois indivíduos como atuantes no tratamento, sendo o controlador o responsável pelas decisões de tratamento e operador quem efetiva o tratamento.
Os operadores e controladores devem criar procedimentos para garantir a segurança da guarda e tratamento dos dados. Tais procedimentos não estão descritos na lei, mas as regras criadas devem atender aos requisitos de idoneidade segurança e identificação das informações.
Nos procedimentos criados, deve-se garantir ao titular dos dados o pleno e facilitado acesso ao tratamento de seus dados, de forma clara, adequada e ostensiva para que sejam demonstradas:
· finalidade específica do tratamento;
· forma e duração do tratamento, observados os segredos comercial e industrial;
· identificação do controlador;
· informações de contato do controlador;
· informações acerca do uso compartilhado de dados pelo controlador e a finalidade;
· responsabilidades dos agentes que realizarão o tratamento; e
· direitos do titular, com menção explícita aos seus direitos contidos no art. 18 da Lei.
Os direitos do titular dos dados, que deverão ser atendidos prontamente pelo controlador, estão expressamente listados na lei e são os seguintes:
· confirmação da existência de tratamento;
· acesso aos dados;
· correção de dados incompletos, inexatos ou desatualizados;
· anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;
· portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial
· eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas na Lei;
· informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
· informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
· revogação do consentimento, nos termos da Lei.
O tratamento dos dados pessoais sensíveis e aqueles relativos a crianças e adolescentes, possuem regras específicas.
Das responsabilidades e penalidades
O controlador e o operador do tratamento dos dados são responsáveis pelos danos patrimoniais, morais, individuais ou coletivos que causaram nas hipóteses de infração da lei.
Uma previsão de extrema relevância é a possibilidade de que um juiz, em um processo civil, inverta o ônus da prova em favor do titular dos danos. Ciente dessa possibilidade, a empresa deverá manter um sistema muito bem organizado e seguro, para conseguir provar ausência de responsabilidade nos danos.
Eventual infração às previsões da lei podem culminar na aplicação de advertência, com prazo de adoção de medidas corretivas, além de multas de até 2% do faturamento da empresa, limitada a R$ 50 milhões de reais por infração.
O prazo para a entrada em vigor da lei é de 24 meses, contados da sua publicação que ocorreu em 14 de Agosto de 2018.
Considerando a extensão e detalhamento das previsões de lei, a efetiva adequação das pessoas físicas e jurídicas demanda uma cuidadosa análise e estudo com a realidade de cada parte.