Instituída pela Lei nº 13.709, de 2018, a Lei Geral de Proteção de Dados Pessoais (LGPD) dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou pessoa jurídica de direito público ou privado, tem como objetivo proteger os direitos fundamentais de liberdade, privacidade e o livre desenvolvimento da personalidade da pessoa natural (artigo 1º, da Lei nº 13.709, de 2018). A LGPD foi alterada pela Lei nº 13.853, de 2019 e regulamentada pelo Decreto nº 10.406, de 2019.
As normas gerais introduzidas pela LGPD são de interesse nacional e deverão serem observadas pela União, Estados, Distrito Federal e Municípios. Vale ressaltar que a LGPD é de caráter nacional e geral, alcança toda e qualquer operação que envolva tratamento de dados, não se restringindo apenas à relação entre cidadãos e órgãos e entidades governamentais, mas também às empresas ou entidades, sejam elas públicas (órgãos e entidades da administração pública) ou privadas, desde que gerem base de dados pessoais coletados no território brasileiro para fins econômicos de seus colaboradores, terceirizados, clientes, pacientes, alunos, entre outras hipóteses. Todos deverão observar as normas da LGPD.
Por isso, as empresas deverão adequar as suas bases de dados pessoais, dos departamentos de pessoal, financeiro, compliance, cadastros de clientes e fornecedores, sistemas etc., para atender às regras da LGPD, que tem por objetivo dar mais segurança jurídica na proteção de dados pessoais, sejam de pessoas naturais ou jurídicas, privadas ou públicas.
Nas atividades de tratamento de dados pessoais, serão observados os princípios da boa fé, além de outros estabelecidos na LGPD, tais como da finalidade, da adequação, da necessidade, do livre acesso, da transparência, da segurança, entre outros. Dentre esses princípios destaca-se o da necessidade, que consiste na limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados e o da segurança, segundo o qual deve haver a utilização de medidas técnicas e administrativas aptas a proteger os dados de acessos não autorizados e de situações acidentais ou ilícitas, de destruição, perda, alteração, comunicação ou difusão.
A LGPD estabelece que a disponibilização de dados será apenas para as finalidades específicas para as quais foram coletados e desde que devidamente informados os titulares. O consentimento do titular deve ser inequívoco, fornecido por escrito ou por outro meio que demonstre a manifestação de vontade. No âmbito público Federal, já foi instituído o Cadastro Base do Cidadão (CBC) para fins de compartilhamento de dados.
Vigência
A LGPD estava prevista para entrar em vigor a partir do dia 05 de agosto de 2020. No entanto, o Governo Federal prorrogou esse prazo, passando a vigorar somente a partir de 03 de maio de 2021 (artigo 4º, da Medida Provisória nº 959, de 2020)
Dados pessoais
De acordo com a LGPD, considera-se dado pessoal, a informação relacionada a pessoa natural identificada ou identificável, ou seja, em um conceito amplo, pode ser considerado como dado pessoal qualquer dado que, isolado (dado pessoal direto) ou agregado a outro (dado pessoal sensível), possa permitir a identificação de uma pessoa natural. Considera-se dado pessoal sensível, o dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural (artigo 5º, I a II, da Lei nº 13.709, de 2018).
Por outro lado, não se considera dado pessoal, o dado anonimizado ou que passe por anonimização, assim considerado o dado relativo a titular que não possa ser identificado, levando em conta a utilização de meios técnicos razoáveis e disponíveis na ocasião do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um individuo (artigo 5º, III e XI, da Lei nº 13.709, de 2018).
Partes envolvidas
Consideram-se partes envolvidas na LGPD: a) titular: pessoa natural a quem se referem os dados pessoais que são objetos de tratamento; b) controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais; c) operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador; d) encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD); e, e) agentes de tratamento: o controlador e o operador (artigo 5º, V a IX, da Lei nº 13.709, de 2018).
Tratamento dos dados
Considera-se tratamento, toda operação realizada com dados pessoais, bem como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração (artigo 5º, X, da Lei nº 13.709, de 2018).
Alcance
A LGPD aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que: a) a operação de tratamento seja realizada no território nacional, com exceção o tratamento de dados provenientes de fora do território nacional; b) a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; e, c) os dados pessoais objeto do tratamento tenham sido coletados no território nacional. Consideram-se dados coletados no território nacional os dados pessoais cujo titular nele se encontre no momento da coleta (artigo 3º, da Lei nº 13.709, de 2018).
Casos em que não se aplica a LGPD
A LGPD não se aplica ao tratamento de dados pessoais: a) realizado por pessoa natural para fins exclusivamente particulares e não econômicos; b) realizado para fins exclusivamente jornalístico e artístico ou acadêmico; c) realizado para fins exclusivos de segurança pública, defesa nacional, segurança do Estado, ou atividades de investigação e repressão de infrações penais (esses casos são regidos por lei específica); e, d) provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto na LGPD (artigo 4º, I, II, III e IV, da Lei nº 13.709, de 2018).
Acesso aos dados
As atividades de tratamento de dados pessoais cujo acesso é público deverão considerar a boa-fé e o interesse público que justificaram sua disponibilidade, observando os seguintes princípios: finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação, responsabilização e prestação de contas (artigo 6º, da Lei nº 13.709, de 2018).
O titular também tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca de, entre outras características previstas em regulamentação para o atendimento do princípio do livre acesso (artigo 9º, da Lei nº 13.709, de 2018).
Consentimento do titular dos dados
Em princípio, o tratamento de dados pessoais somente poderá ser realizado mediante o fornecimento de consentimento pelo titular, por escrito ou por outro meio que demonstre a manifestação de vontade do titular. O consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação (artigos 7º e 8º, da Lei nº 13.709, de 2018).
O consentimento deverá referir-se a finalidades determinadas, e as autorizações genéricas para o tratamento de dados pessoais serão nulas. É vedado o tratamento de dados pessoais mediante vício de consentimento. No entanto, a exigência do consentimento do titular será dispensada para os dados tornados manifestadamente públicos pelo titular, resguardados os direitos do titular e os princípios previstos na LGPD (artigo 7º, § 4º; e, artigo 8º, §§ 3º, 4º, da Lei nº 13.709, de 2018).
Controlador e operador
Compete ao controlador, pessoa natural ou jurídica, de direito público ou privado, as decisões referentes ao tratamento de dados pessoais, assim considerados: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração (artigo 5º, VI e X, da Lei nº 13.709, de 2018).
Ao controlador cabe o ônus da prova de que o consentimento foi obtido em conformidade com o disposto na LGPD. O controlador que obteve o consentimento do titular que necessitar comunicar ou compartilhar dados pessoais com outros controladores deverá obter consentimento específico do titular para esse fim, ressalvadas as hipóteses de dispensa de consentimento previstas na LGPD (artigo 8º, § 2º; e. artigo 7º, § 5º, da Lei nº 13.709, de 2018).
A eventual dispensa da exigência do consentimento não desobriga os agentes de tratamento (controlador e operador) das demais obrigações previstas na LGPD, especialmente da observância dos princípios gerais e da garantia dos direitos do titular. O operador é aquele que realiza o tratamento de dados pessoais em nome do controlador (artigo 7º, § 6º; e, artigo 5º, VII, da Lei nº 13.709, de 2018).
Término do tratamento de dados
O término do tratamento de dados pessoais ocorrerá nas seguintes hipóteses: a) verificação de que a finalidade foi alcançada, ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada; b) fim do período de tratamento; c) comunicação do titular, inclusive no exercício de seu direito de revogação do consentimento conforme disposto no § 5º, do artigo 8º, da LGPD, resguardando o interesse público; ou, d) determinação da autoridade nacional, quando houver violação ao disposto na LGPD (artigo 15, da Lei nº 13.709, de 2018).
Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades: a) cumprimento de obrigação legal ou regulatória pelo controlador; b) estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais; c) transparência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos na LGPD; e, d) uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados (artigo 16, da Lei nº 13.709, de 2018).
Sanções administrativas
Os agentes de tratamento de dados (controlador ou operador), em razão das infrações cometidas às normas previstas na LGPD, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional: a) advertência, com indicação de prazo para adoção de medidas corretivas; b) multa simples, de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50 milhões, por infração; c) multa diária, observado o limite total a que se refere a letra “b“; d) publicização da infração depois de devidamente apurada e confirmada a sua ocorrência; e) bloqueio dos dados pessoais a que se refere a infração até a sua regularização; f) eliminação dos dados pessoais a que se refere a infração; g) suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador; h) suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 meses, prorrogável por igual período; e, i) proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados (artigo 52, da Lei nº 13.709, de 2018).
As sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados os seguintes parâmetros e critérios estabelecidos no § 1º, do artigo 52, da Lei nº 13.709/2018.
A autoridade nacional definirá, por meio de regulamento próprio sobre sanções administrativas a infrações a esta Lei, que deverá ser objeto de consulta pública, as metodologias que orientarão o cálculo do valor-base das sanções de multa (artigo 53, da Lei nº 13.709, de 2018).
balaminut | tbr | agosto 2020