O que é preciso saber sobre a LGPD – Lei Geral de Proteção e Dados

Saiba o que é importante saber sobre a nova legislação de proteção de dados do Brasil – a LGPD.

O que é LGPD?

“Dados são o novo petróleo” – quem nunca ouviu essa frase antes? Ela reflete o momento pelo qual passamos, em que os mercados cada vez mais migram para o ambiente digital e tudo, basicamente tudo, é convertido em dados. Estes, por sua vez, tornaram-se valiosos insumos dos mais variados produtos e serviços, alguns legítimos, outros nem tanto. Ocorre que, recentemente, a extração e o uso desse novo petróleo passou a ser regulado por legislações específicas, como a LGPD no Brasil e a GDPR na Europa – leis que estabelecem uma série de regras e sistemas protetivos aplicados ao que chamamos de dados pessoais.

A LGPD e o seu surgimento

Há alguns anos nos deparamos com o escândalo do caso Cambridge Analytica, uma empresa que teria coletado e extraído dados de milhões de usuários do Facebook de forma questionável e, assim, contribuído para campanhas de cunho político-eleitoral através da manipulação da opinião pública de determinados grupos. Sem adentrar na problemática política que esse caso representou, os principais pontos de discussão levantados com esse incidente foram:

• Afinal, a quem pertencem esses dados pessoais coletados pelas empresas?
• Até que ponto empresas podem usar dados pessoais sem conhecimento ou autorização das pessoas?
• É possível fazer algo contra quem usa meus dados sem meu consentimento?
• Existe privacidade na internet?

Essas dúvidas e reflexões não eram novas à época, tanto que o Parlamento Europeu já travava discussões a este respeito, culminando na construção da chamada General Data Protection Regulation (GDPR) – um regulamento aplicado a todos os países do bloco europeu que desenhou regras legais específicas para o uso de dados pessoais por terceiros e consolidou alguns direitos dos titulares destes dados. Finalizada em 2016, a GDPR entrou em vigor em 2018 na União Europeia.

Foi neste ambiente, portanto, que nasceu a Lei nº 13.709/2018– a Lei Geral de Proteção de Dados Pessoais (LGPD), em vigor desde Agosto de 2020 no Brasil. Trata-se de um conjunto de regras voltadas à proteção dos dados pessoais, fortemente influenciada por aquele regulamento europeu.

O que são dados pessoas?

A LGPD foi construída com um objetivo claro: estabelecer a proteção dos dados pessoais e dos seus titulares (pessoas físicas), o que fez por meio de uma série de princípios e regras aplicáveis a toda e qualquer atividade que envolva o uso destes dados ocorrida no Brasil, ou que, de alguma forma, tenha alguma conexão com o território brasileiro. A LGPD é aplicável a todos – mundo físico e mundo digital.

Esta lei define como dado pessoal a “informação relacionada a pessoa natural identificada ou identificável”. Como exemplos típicos de dados pessoais temos o nome da pessoa, o CPF, o telefone, o endereço de e-mail – informações que nos permitem identificar facilmente o individuo a quem se referem. No entanto, existem inúmeras outras informações que, quando analisadas dentro de um determinado contexto, também permitem a identificação dessa pessoa – por exemplo:“um médico pediatra, que trabalha no Hospital XYZ, nas terças-feiras, pelo turno da manhã”. Essas informações também serão consideradas dados pessoais nos termos da LGPD.

Portanto, todos dados que permitam, de alguma forma, identificar uma determinada pessoa natural são considerados dados pessoais e, consequentemente, estarão dentro da proteção estabelecida pela LGPD. O tratamento destes dados, termo legal este utilizado para referir-se a qualquer tipo de uso (extração, coleta, processamento, armazenamento, transferência, etc.), só poderá ocorrer dentro das hipóteses autorizadas pela Lei. Outros dados, não enquadrados nessa definição, não são abrangidos pela proteção dessa legislação específica.

A LGPD também prevê algumas categorias específicas de dados pessoais que gozam de maior proteção, com os dados sensíveis (de origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico) e os dados pessoais de crianças e adolescentes. 

Quais as regras para tratamento de dados pessoais

Como mencionado, a LGPD trouxe no seu texto uma série de princípios que deverão ser respeitados por todos aqueles que lidam com o tratamento de dados – controladores (quem orienta como o tratamento de dados deve ser feito) e operadores (quem executa o tratamento de dados). Esse conjunto de regras mais abstratas é importante para que todos negócios entendam a essência do que prega a LGPD e tentem, ao máximo, moldar seus negócios em torno do espírito dessa legislação.

Os primeiros e mais importantes princípios são os da Finalidade, Adequação e Necessidade. Com base nestes, todo tratamento de dados deverá ser feito para uma finalidade específica (e conhecida pelo titular dos dados), de forma adequada ao propósito para o qual foram fornecidos pelo seu titular, sendo utilizados apenas aqueles dados indispensáveis para tal finalidade. Ou seja, solicitar o CPF do usuário para enviar um newsletter já seria um ato claramente contrário ao que determina a LGPD.

Em seguida, temos os princípios de Transparência e Livre Acesso. Os usuários e titulares dos dados pessoais têm o direito de saber exatamente quais os seus dados que foram tratados, como eles foram tratados, para que fins e por quem. Neste mesmo sentido, qualquer situação de vazamento de dados deverá ser devidamente informada aos titulares potencialmente afetados. Isso nos leva ao terceiro grupo de princípios de maior importância na LGPD – Segurança e Prevenção – os operadores/controladores deverão adotar medidas voltadas à proteção dos dados pessoais por eles tratados, sejam elas digitais (firewalls) ou físicas (controle de acesso de funcionários ao local dos servidores), bem como possuir planos para lidar com eventuais crises resultantes de violações de segurança. 

A demonstração da adoção desses princípios nas atividades do controlador/operador, representada pelas máximas de “Privacy by Design” (a privacidade deve ser aplicada desde a concepção do modelo de negócio e do desenvolvimento do produto/serviço) e “Privacy by Default” (a configuração padrão do produto/serviço deve ser a de maior privacidade possível ao usuário), é bastante importante. Problemas com dados pessoais serão inevitáveis, razão pela qual a demonstração de que a empresa/entidade adotou práticas positivas aos fins da LGPD pesará em eventual responsabilização.

No entanto, o ponto mais alto da LGPD está nas hipóteses que autorizam o tratamento de dados. Isto é, toda e qualquer operação envolvendo dados pessoais de terceiros deverá estar amparada por uma dessas situações previstas no art. 7º da LGPD, dentre as quais destacamos aqui as mais relevantes:

1. Consentimento: o titular dos dados pessoais deverá fornecer autorização clara e específica para as operações que envolvam seus dados pessoais, para finalidades anunciadas no momento dessa autorização, cabendo ao controlador/operador o ônus de demonstrar que o usuário estava claramente ciente do consentimento concedido. Autorizações genéricas ou escondidas em termos de uso extensos poderão ser consideradas nulas. Ademais, o consentimento poderá ser revogado a qualquer momento pelo titular. Ferramentas de “Gestão de Consentimentos” serão muito importantes para quem trabalha com essa hipótese.
2. Legítimo Interesse: é a hipótese mais flexível e, todavia, a mais insegura de todas. O tratamento de dados pessoais poderá ser feito quando este atender ao legítimo interesse do controlador/operador, desde que haja um equilíbrio com os interesses dos usuários e, principalmente, um claro benefício àqueles (e o controlador/operador consiga comprovar isso). Um exemplo claro dessa situação é o combate às fraudes financeiras, que autorizam os Bancos a processarem dados pessoais de seus clientes para evitar a transferência indevida de valores de suas contas bancárias.
3. Contratos: quando o tratamento de dados for necessário para a celebração e a execução das obrigações previstas em um contrato no qual o usuário faça parte.
4. Proteção da Vida e Saúde do Usuário: hipótese autoexplicativa.
5. Obrigação legal: quando a lei exige do controlador/operador a prestação de informações com dados pessoais de terceiros (ex.: para envio de dinheiro para o exterior, as entidades bancárias precisam fornecer dados do remetente para autoridades fiscais);
6. Proteção de Crédito: nas negociações de fornecimento de crédito ao usuário, é justificado que seu histórico financeiro seja checado.

Dados públicos (disponíveis em bases de dados governamentais abertas a todos) e dados pessoais tornados públicos pelo próprio titular (ex.:informações publicadas pelo próprio usuário em suas redes sociais abertas a todos), em razão dessa natureza específica, podem ser tratados fora das hipóteses acima, mas nunca de forma contrária aos princípios da LGPD.

Dados pessoais sensíveis só podem ser tratados com base nas hipóteses 1, 4 e 5 acima. Dados de crianças e adolescentes só podem ser tratados com o consentimento específico de seus responsáveis legais.

O tratamento de dados pessoais para fins de pesquisa pode ser realizado, sendo garantido, sempre que possível, a anonimização dos dados tratados. Órgãos públicos podem realizar o tratamento de dados pessoais de acordo com sua finalidade e com o interesse público, sem extrapolar as prerrogativas que demais leis lhes conferem, existindo regras específicas na LGPD para estes casos em que o governo atua como controlador/operador.

Quais as consequências pela violação de dados pessoas

Como visto acima, todo o tratamento de dados pessoais realizado deve estar de acordo com uma das hipóteses autorizadoras previstas na LGPD (ou abarcados por uma das exceções previstas) e deve atender aos princípios previstos nessa legislação específica. Logo, quando determinada atividade que envolva o uso de dados pessoais não possui respaldo nesta lei, os responsáveis por isso (tanto controlador como operador) estarão sujeitos a sanções e à reparação pelos danos causados.

É importante lembrar que o titular de dados pessoais possui outros direitos também que devem ser respeitados pelos operadores/controladores, como o direito de acesso à informação relacionada ao tratamento de seus dados, o direito de opor-se ao tratamento indesejado e, em especial, o direito à eliminação de todos os seus dados pessoais do sistema de um operador/controlador. Deverão ser oferecidas plenas e acessíveis condições para o exercício desses direitos pelo usuário.

O não atendimento dessas regras pode ensejar em penalidades administrativas (aplicadas pela Agência Nacional de Proteção de Dados – ANPD), bem como em eventuais processos judiciais, promovidos pelos próprios usuários ou por terceiros que os representem (associações, Ministério Pùblico, etc.), com pedidos para que os direitos sejam devidamente atendidos sob pena de multa e eventuais indenizações por danos materiais e morais. As sanções administrativas só poderão ser aplicadas a partir de Maio/2021, as quais poderão chegar a multas de até 2% do faturamento das empresas, mas as ações judiciais promovidas pelos próprios usuários ou seus representantes já podem ocorrer (e inclusive já estão ocorrendo).

Recentemente, a título de exemplo, uma construtora foi condenada ao pagamento de R$ 10.000,00 por danos morais pelo uso indevido de dados. A empresa teria passado os dados de contato de um cliente que estaria inadimplente a uma empresa de cobrança. O titular, todavia, jamais autorizou que seus dados fossem fornecidos a terceiros pela construtora ou, se autorizado, esta não conseguiu demonstrar tal autorização de forma clara e inequívoca.

Conclusão

Não resta dúvida de que a LGPD está gerando um tremendo impacto em nosso mercado, apesar de não sabermos ainda qual será a efetiva dimensão disso. Um efeito dessas novas legislações, contudo, é claro: já há o surgimento de uma nova consciência relacionada à proteção dos dados pessoais, ficando cada vez mais claro aos titulares que dados pessoais não podem ser explorados de qualquer forma e para quaisquer fins.

Conhecer minimamente a LGPD é indispensável a todos, em especial àqueles que exploram o mercado digital, onde o fluxo e a exploração desse novo petroleo é comum e frequente. Ter um negócio moldado às regras de proteção de dados pessoais não só evitará futuras dores de cabeça, como também pode ser um verdadeiro atrativo a potenciais clientes e usuários.