Quando começa a valer a lgpd

Você já ouviu falar da Lei Geral de Proteção de Dados Pessoais? Sabe do que se trata?

Essa lei é um marco histórico para o Brasil no que diz respeito à privacidade e segurança dos dados de pessoas naturais. Ela já está em vigor, mas em agosto deste ano ela passa a valer de forma plena.

Entenda agora os pontos mais importantes dessa lei e como ela afeta a sua vida.

O que são dados?

O professor de Direito da UninCor Carlos Eduardo Pinheiro Marcelino de Oliveira define dado como “toda e qualquer informação pertinente à pessoa, seja ela natural ou jurídica, tal como o nome, nacionalidade, profissão, endereço, etnia etc”.

Compartilhamos esses dados muitas vezes quando acessamos sites na internet e deixamos nosso e-mail, telefone ou até mesmo número de documentos pessoais, em alguns casos.

No mundo off-line, dividimos esses dados ao fazer um cadastro em uma academia, ou quando aderimos aos programas de fidelidades em farmácias, por exemplo.

— Foto: Divulgação: UninCor

Afinal, o que é a LGPD?

A lei Geral de Proteção de Dados Pessoais (LGPD) é uma norma legal, a Lei Ordinária Federal n.º 13.709, de 14 de agosto de 2018, que entrou em vigor a partir de 28 de dezembro de 2018 e terá vigência plena a partir de 1º de agosto de 2021, e tem como objetivo regular a forma como os dados pessoais devam ser utilizados por qualquer pessoa, natural ou jurídica, pública ou privada, a fim de proteger os direitos fundamentais, dentre os quais, a liberdade e a privacidade.

O professor do curso de Ciência da Computação da UninCor Thiago Giovanella fala sobre a Lei Geral de Proteção de Dados:

“Chamam a atenção nesta lei o seu impacto, assim como a sua amplitude, uma vez que qualquer empresa, independente do seu porte ou segmento, que faça uso, direto ou indireto de dados de pessoas físicas está sujeita. Isso, sem dúvidas implica em mudanças significativas em todo um cenário que envolve administração, marketing, jurídico e, sem dúvidas, tecnologia da informação e comunicação, já que a partir da entrada em vigor desta lei, uma série de novas orientações, restrições precisam ser consideradas pelas empresas ao adotarem suas estratégias de coleta, uso e difusão de informações de funcionários ou clientes”, comenta o professor.

A LGPD estabelece que toda operação realizada com dados pessoais, como coleta, produção, recepção, transmissão, processamento, armazenamento, eliminação, alteração, extração, ou qual meio de divulgação ou compartilhamento de dados devem receber tratamento adequado e proteção, principalmente se houver aqueles considerados sensíveis pela lei. Neste caso, as penalizações sujeitas são ainda mais severas.

O que são dados sensíveis e qual o tratamento específico indicado para eles?

Você sabe por que não se pode divulgar a identidade de pessoas infectadas pelo Sars-CoV-2 (coronavírus), sem autorização delas? Porque dados referentes à saúde estão entre aqueles que são considerados sensíveis.

“Isso já não era permitido com relação ao prontuário médico, que sempre foi sigiloso, a divulgação sempre depende de autorização da pessoa ou da família. Agora com a Lei Geral de Proteção de Dados ficou ainda mais patente, para qualquer tipo de patologia”, comenta Carlos Eduardo Pinheiro Marcelino de Oliveira.

A LGPD classifica dados sensíveis como: “dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”, ou seja, dados relacionados ao sentimento personalíssimo da pessoa física, conforme explica o professor de Direito.

“Todos os dados que identifiquem uma pessoa, ainda que indiretamente, é considerado relevante, seja uma placa de carro, um IP de computador ou um número de registro acadêmico, por exemplo. Alguns dados, porém, são tratados com mais severidade pela lei por serem considerados sensíveis”, esclarece Thiago Giovanella.

O Tratamento desses dados é regulado pelo art. 11, da LGPD e determina que eles só podem ser objeto de coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração (tratamento), mediante autorização expressa do titular ou responsável legal e para finalidades específicas, ou em caso de relevante interesse público e, sempre que possível, o anonimato.

Quais são os pontos principais da lei?

A LGPD tem como principais pontos:

• A definição legal de termos técnicos inerentes ao tratamento e proteção de dados;
• a definição dos requisitos inerentes ao tratamento de dados pessoais, de dados pessoais sensíveis e daqueles inerentes a crianças e adolescentes;
• os direitos inerentes ao titular dos dados;
• tratamento de dados pelo Poder Público;
• transferência internacional de dados;
• as prerrogativas e obrigações dos agentes de tratamento de dados;
• segurança, sigilo e governança de dados;
• fiscalização e sanções;
• definição da Autoridade Nacional de Proteção de Dados – ANPD e do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade.

Quais são as irregularidades sob as quais a lei incidirá?

O tratamento de dados pessoais é irregular quando deixa de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes, entre as quais: o modo pelo qual é realizado; o resultado e os riscos que razoavelmente dele se esperam; as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado.

Em outras palavras as irregularidades decorrem de vício de forma (tratamento) e/ou da violação da privacidade, intimidade, honra, imagem e dignidade dos titulares dos dados.

— Foto: Divulgação: UninCor

Quais punições estão previstas na LGPD?

“É importante a empresa se inteirar sobre como proceder na proteção dos dados de pessoas naturais, além de como cumprir integralmente a LGPD, já que severas punições podem ser aplicadas, incluindo multas e a proibição do uso dos dados para quaisquer que sejam os fins”, diz o professor de Ciência da Computação.

“A LGPD prevê a responsabilização dos agentes de tratamento (operador, controlador e/ou encarregado) por danos causados, seja de ordem patrimonial, moral, individual ou coletiva, de cunho civil, além das sanções administrativas”, explica Carlos Eduardo.

Para simplificar o entendimento dos papéis, a LGPD considera:

• Titular é toda pessoa natural a quem se referem os dados pessoais que são objeto de tratamento (clientes);
• Controlador é a pessoa natural ou jurídica, a quem competem as decisões referentes ao tratamento dos dados (empresas contábeis, considerando que tomam decisões em nome de seus clientes);
• Operador é a pessoa natural ou jurídica, que realiza o tratamento dos dados em nome do Controlador (empresas contábeis ou seus parceiros e colaboradores, considerando as operações processadas na execução dos serviços contábeis);
• Encarregado (DPO – Data Protection Officer) é a pessoa indicada pelo Controlador para atuar como canal de comunicação entre o Controlador, o Titular e a Autoridade Fiscalizadora (ANPD – Autoridade Nacional de Proteção de Dados). A empresa contábil deverá nomear um funcionário para esta função.

Qual é a relação entre o Marco civil da internet e a LGPD?

O Marco Civil da Internet é regulado pela Lei 12.965/2014 e tem como fundamento estabelecer princípios, garantias, direitos e deveres para o uso da Internet no Brasil.

Prevê a segurança de dados apenas em ambiente on-line, enquanto a LGPD cria diretrizes mais específicas de aplicação e segurança, detalhando os tipos de dados existentes e assegurando toda a movimentação de dados, inclusive off-line.

“A LGPD não trata somente de dados digitalizados ou da internet. Todos os dados que identificam ou podem identificar um cidadão, ainda que impresso em papel ou em conversas de áudio, estão previstos na lei”, complementa Carlos Eduardo.

Como a LGPD impacta a vida das empresas e das pessoas?

Diante da virtualização das relações sociais e dos negócios jurídicos, cada vez mais a tecnologia digital é utilizada como ferramenta de marketing e a sua forma mais eficiente para alcançar o seu público alvo (potenciais consumidores) é a abordagem direta, por telefonemas, e-mails, redes sociais, o que faz com que tais informações sejam buscadas cada vez mais pelos empresários.

“Para cada contato, cada negociação e cada negócio efetivamente realizado, inúmeros dados pessoais comuns e sensíveis circulam para compor os bancos de dados desses empresários, e, inclusive, eram compartilhados gratuita ou onerosamente, entre empresários”, comenta o professor de Direito.

A LGPD tem como missão criar um arcabouço de regras que possam responsabilizar esses tomadores de dados por eventuais vazamentos que venham a atingir direitos fundamentais de pessoas, a fim de criar normas e gestão de governança para que tais dados sejam tratados com respeito e cautela.

Alguns pontos que devem ser considerados pelas empresas ao lidarem com dados:

• A finalidade: garantir que os dados são importantes e terão destinação adequada para os serviços contratados ou autorizados pelo titular;
• Adequação: o meio de coleta e armazenamento está em conformidade;
• Necessidade: O dado é realmente necessário para o serviço ou alguma atividade paralela que sem este seria impossível continuar;
• Livre acesso: É do direito do titular saber exatamente quais dados e informações a empresa detém sobre ele;
• Qualidade dos dados: o titular pode requerer a remoção ou substituição de qualquer dado que sentir necessidade;
• Responsabilidade e prestação de contas: é dever da empresa comunicar eventuais vazamentos ou descumprimentos no trato dos dados;
• Transparência: A empresa deve ser transparente ao titular sobre como utiliza os seus dados;
• Segurança: a empresa deve tomar todas as medidas para assegurar que os dados estão seguros;
• Prevenção: A empresa deve reiteradas vezes adotar medidas de prevenção de vazamento ou perda dos dados;
• Não discriminação: A empresa não deve utilizar os dados de maneiras que prejudiquem o seu titular em nenhum sentido, que o abuse ou ainda que seja ilícito.

Como o poder público pode garantir que a lei seja cumprida?

“O governo tem levado esta lei tão a sério que considera, inclusive, a criação de um novo órgão ligado diretamente ao Ministério da Defesa para maior eficiência na sua aplicação. A ANPD (Autoridade Nacional de Proteção de Dados) poderá dispor sobre padrões de interoperabilidade para fins de portabilidade dos dados, tempo de guarda dos registros e todo o mais visando a necessidade e a transparência”, comenta Thiago.

A ANPD irá fiscalizar, regular e penalizar, em caso de descumprimento da lei. Irá também orientar sobre a sua aplicação, como medida preventiva.

“A atuação do poder público decorrerá do seu exercício regular do poder de polícia pautado na fiscalização através de agentes públicos vinculados à estrutura organizacional da ANPD, com poderes para aplicação das sanções administrativas”, comenta Carlos Eduardo.

“Ainda que exista um órgão especial para tratar a LGPD, é importante ressaltar que não é somente este órgão que pode autuar empresas pelo descumprimento da lei. Qualquer órgão de defesa do consumidor, como por exemplo o PROCON, poderá lançar mão da lei para as suas atividades. Além disso, a lei está disponível para qualquer pessoa requerer judicialmente pelos seus direitos através de advogados ou órgãos de classe”, complementa o professor.

Por fim, é uma dúvida comum entre as empresas sobre como proceder com dados obrigatórios para cumprimento de outras rotinas, como seguridade social, por exemplo. É importante compreender neste ponto que a LGPD não estabelece o descumprimento de nenhuma outra lei e, neste caso, todos os dados necessários para o exercício normal desta rotina administrativa são de coleta permitida, ainda que sem o consentimento do titular.

Quando começa a vigorar a LGPD?

Quando entra em vigor às penalidades da LGPD?