Considerações Iniciais sobre a Lei Geral de Proteção de Dados Pessoais


Inicialmente, vale ressaltar que a LGPD ainda não começou a produzir os seus efeitos, já que esta prevê um período de 18 meses a partir da data de sua publicação oficial (14/08/2018) para começar a valer. Portanto, somente na prática seremos capazes de refletir o real alcance da Lei de Proteção de Dados.


Entretanto, é possível tecer algumas considerações, analisando a letra da lei:


I – DA APLICAÇÃO DA LEI


A Lei de proteção de dados se aplica a qualquer agente (pessoa física, jurídica ou órgão público) que pratique tratamento de dados, nos termos do art. 1º da Lei 13.709/18, que diz: “Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural”.


A lei contemplará toda pessoa física ou jurídica de direito público ou privado que pratique tratamento de dados, termo definido no texto legal como sendo “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração” (art. 5, X), compreenderá desde o simples acesso aos dados de funcionários até diferentes áreas internas das empresas.


O artigo 3º da LGPD diz que ela protegerá dados quando:


a) O dado for tratado por pessoa física ou jurídica pública (governo) ou privada

(empresa) do Brasil;

b) Foram coletados e realizados em território brasileiro;

c) Se houver a finalidade de fornecer bens ou serviços para as pessoas.

d) Isso vale independentemente do método usado para tratar os dados (internet, papel etc) e do país onde estejam armazenados os dados.


II – DOS TIPOS DE DADOS


Vale lembrar que com a nova Lei de proteção de dados é importante diferenciar os dados em duas partes:


Dados pessoais:qualquer informação que se relacione a pessoa natural identificada ou identificável (art. 5º, I); e

Dados sensíveis:dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural (art. 5º, II);


III – DO CONSENTIMENTO


A Lei de Proteção de Dados pessoais diz que o compartilhamento das informações dos cidadãos só será possível se houver consentimento explícito, inequívoco, livre, informado e por escrito ou outro meio idôneo que demonstre a manifestação da vontade do titular dos dados.


Segundo a lei, o tratamento dos dados pessoais de crianças passa a exigir o consentimento específico e em destaque de ao menos um dos pais ou responsável legal da criança.


Cumpre ressaltar que até lá a mencionada cláusula poderá ser revista, diante da ausência de jurisprudência sobre o tema.


IV – DOS DEMAIS CUIDADOS


Além do prévio consentimento, principal consequência é a exigência de maior transparência em relação ao tratamento de dados, devendo as empresas estar preparadas para fornecer aos titulares informações sobre o tratamento realizado, permitir acesso aos dados e efetuar correções apontadas pelos titulares, bem como excluir tais dados nos casos previstos por lei, inclusive em casos de revogação do consentimento. Adicionalmente, os titulares de dados pessoais passam a ter direito a portabilidade dos dados de um fornecedor para o outro.


Obviamente, por ter o usuário dado o seu consentimento para que os seus dados pessoais fossem tratados ou compartilhados com outras empresas, tal “consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação, nos termos do inciso VI do caput do art. 18 desta Lei” (art. 8º, § 5º).


A partir da entrada em vigor da lei, as empresas devem tratar somente o mínimo de dados necessários para a realização de suas finalidades, devendo ainda eliminar tais dados após a finalidade para os quais estes foram coletados ter sido concluída, ou caso tais dados deixem de ser necessários ou pertinentes para tal finalidade.


Caso violada a segurança dos dados pessoais de modo a acarretar risco ou dano relevante aos seus titulares, a LGPD dispõe que o Controlador deverá comunicar à Autoridade Nacional e ao titular, indicando, dentre outras informações, a natureza dos dados afetados, os riscos relacionados ao incidente e as medidas adotadas para reverter ou mitigar prejuízos.


As empresas deverão registrar todas as atividades de tratamento realizadas, incluindo informações relativas ao tipo de dado, o prazo do tratamento e a fundamentação para este. Também será necessário elaborar relatórios de impacto à proteção de dados pessoais em relação a tratamentos que podem gerar riscos às liberdades civis e aos direitos fundamentais dos titulares, bem como medidas, salvaguardas e mecanismos de mitigação.


As novas disposições legais tornam necessária a realização de uma espécie de auditoria de proteção de dados pelas empresas, o que permitirá a identificação das práticas por elas adotadas, dos riscos corridos e das medidas a serem adotadas para que estejam em conformidade com a normativa brasileira.


V – DAS HIPÓTESES DE DISPENSA DO CONSENTIMENTO


Essas são as situações em que dados pessoais comuns e também sensíveis poderão ser tratados sem autorização:


a) Para precisar cumprir obrigação legal ou regulatória;

b) Para que órgãos possam executar políticas públicas;

c) Para viabilizar estudos e pesquisas, mas garantindo, sempre que possível, a anonimidade (não identificação) dos dados;

d) Para fazer valer direitos em contratos e processos judiciais, administrativos e arbitrais. Por exemplo, se um juiz exigir detalhes sobre as dívidas atreladas ao CPF da pessoa ao julgar uma ação;

e) Para proteção da vida ou da integridade física da pessoa ou de terceiro. Por exemplo, se expor o endereço de alguém não vai também expor essa pessoa a uma possível tentativa de assassinato;

f) Para tutela da saúde, realizada por profissionais do meio ou por entidades sanitárias.

Ainda há estas formas apenas para dados comuns:

a) Para atender aos "interesses legítimos" da empresa, desde que não burlem direitos da pessoa. Assim, uma empresa pode obter dados comuns também se determinada pessoa for parte em ações judiciais.

b) Para proteção do crédito. Assim, órgãos de proteção ao crédito como Serasa e SPC podem tratar seus dados se seguirem a legislação.


E mais esta apenas para dados sensíveis:


a) Para garantir prevenção à fraude e à segurança da pessoa, ao identificar e autenticar cadastros de pessoas em sistemas eletrônicos. Exemplo: se o banco precisar cruzar seu número de cartão de crédito com CPF para saber se houve compra indevida no cartão.

©

M. Aiello Sociedade Ind. de Advocacia - OAB/SP 29.400

R. São Francisco de Salles, 174, Vila Rami, Jundiaí/SP

  • Facebook - Círculo Branco
  • Instagram - White Circle