terça-feira, 7 de janeiro de 2020

A Lei Geral de Proteção de Dados : Você Sabe do que se Trata?



Autora: Taísa Carneiro





A Lei Geral de Proteção de Dados virou tema recorrente, mas, afinal, o que é a LGPD e de onde surgiu essa ideia de legislação? 

A referida lei foi sancionada em agosto de 2018 e ela teve uma forte inspiração na GDPR ou General Data Protection Legislation. A GDPR é uma lei que veio para substituir mais de 20 leis que tratavam do tema ao redor de toda Europa, ou seja, veio para harmonizar e simplificar.

Com essa regulamentação a União Europeia passa a considerar a proteção de dados pessoais dos seus cidadãos como um direito humano, assim como a liberdade, por exemplo. Ou seja, assim como a GDPR, a LGPD vai ter como finalidade uma maior proteção e fortalecimento da privacidade dos dados pessoais. 

A referida lei europeia tem relevância para o Brasil tendo em vista que ela é aplicável a toda empresa que faça tratamento de dados de cidadãos europeus. Dessa forma, se o Brasil não entrasse em conformidade e adequasse a ela poderia ter suas instituições barradas de fazer negócios com a Europa, eis um dos motivos pelos quais o Brasil acelerou sua regulação. 

Um dos pontos interessantes trazidos pela lei que regula os dados pessoais é a ênfase que se dá ao consentimento para que haja o tratamento de dados, ou seja, os termos devem ser de fácil compreensão, não sendo mais permitido textos longos e prolixos que dificultem o entendimento dos indivíduos. 

Da mesma forma, é necessário que o consentimento seja tão fácil de se retirar quanto o é de se conceder, não podendo mais ser uma funcionalidade escondida na plataforma. Além disso, antes do indivíduo fornecer seu consentimento, deverá ser informado de que forma será feito o processamento das suas informações coletadas. 

Nesse sentido, as pessoas são consideradas titulares das informações e têm o direito de saber dos controladores de dados se as informações que lhe dizem respeito estão sendo ou não processadas. Esse novo direito é chamado de "Direito de Acesso": é a possibilidade de solicitar que o controlador atualize ou altere seus dados, sempre que desatualizados ou incorretos, pois agora o cidadão possui também o direito de retificação. Assim, o titular pode exigir também que suas informações sejam apagadas, decorre do direito que possui o indivíduo de ser esquecido. 

Mas, por que se adequar as regras? Um belo incentivo são as penalidades! Na GDPR, as empresas poderão ser multadas em até 4% do seu faturamento global anual ou até um limite de 20 milhões de euros. Já na lei brasileira, a LGPD, a multa poderá ser de até 2% do faturamento ou um limite de até 50 milhões de reais! 

Desde que surgiu, o mercado tem reagido com muita preocupação a respeito. Contudo, a LGPD só será aplicável a partir de agosto de 2020, quando sua legislação entra em vigor, dessa forma, até este prazo o país se encontra numa fase de Vacatio Legis, ou simplesmente, transição.

Mas, não há como ignorar o fato de que há um alvoroço no mercado sobre a LGPD e muitas empresas estão trabalhando com intuito de colocar sua Base de Dados, sua Política de Privacidades e Termos de Uso de acordo com as determinações exigidas...Mas, qual a principal função da LGPD? Pode-se dizer que a principal função seria de determinar como as empresas deverão fazer o tratamento de dados dos brasileiros, ou seja, basicamente, estabelecer parâmetros de como esses dados devam ser coletados, armazenados, processados e destruídos. 

É importante ressaltar, contudo, que o principal objetivo da lei não é impedir que as empresas ou governos usem dados pessoais, porque isso é necessário, mas que esses dados sejam tratados e armazenados por meios seguros, com medidas técnicas e jurídicas. 

Na Sociedade da Informação, a informação é o principal ativo, principal valor. Os dados são usados, em sua grande maioria, para marketing direcionado. Assim, um dos princípios da lei é a transparência, ou seja, começar a pensar em uma espécie de granuralização do "aceito", a ideia de a empresa informe para que ela precisa daquela informação: se essencial para o serviço a ser prestado, o indivíduo autoriza, dando consentimento para a coleta. Já, se outras informações não são essenciais, tão somente poderá conceder um serviço mais customizado, ficará a critério da pessoa habilitar as hipóteses de conceder suas informações pessoais para esse fim. 

Muita gente, no entanto, se pergunta o que vem a ser, especificamente "tratamento de dados". A legislação trouxe o conceito de tratamento de dados, contudo, como pode-se observar, acabou ampliando e o tornou genérico e amplo demais: 

LEI 13.709/2018. Art 5, Inciso X: 
tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração; 
Dessa forma, verifica-se que a legislação alvejou um conceito amplo, porém, o que se pode inferir do conceito é que, basicamente, na prática, se a empresa tiver acesso aos dados pessoais, de alguma forma, é bem provável que esteja fazendo tratamento de dados. 

Todavia, ainda há alguns questionamentos, como: "Será que todos os dados que eu disponibilizo na internet são considerados dados pessoais?" A resposta é não! Dados pessoais são aqueles possíveis de identificar ou que seja identificável de alguma pessoa natural, então: RG, CPF, telefone ....são dados pessoais, porque por meio deles é possível a identificação de alguém. Já os dados que permitem que a pessoa seja identificável são os que, na soma deles se faz possível a identificação da pessoa natural titular daqueles dados. Então, ao ter conhecimento de determinado endereço, número de IP, localização GPS, basicamente é possível saber quem é a pessoa detrás desses dados pessoais. 

Outra curiosidade comum acerca da LGPD é se ela será aplicável a todas as empresas. A princípio, todas as empresas que tratam dados. Hoje em dia, na verdade, é muito difícil alguma empresa que não precise de nenhum tipo de dado pessoal, o que desbanca uma premissa equivocada no mercado de que a LGPD é uma legislação só para dados online, dados off-line também se enquadram na referida legislação, ou seja, formulários em papel, arquivos também precisarão se adequar. 

É importante superar também a ideia de que a LGPD não será aplicável ao Poder Público.

Outrossim, em nenhum momento a legislação menciona que a LGPD será aplicável apenas a empresas que tenham plataformas digitais. Então, a premissa basilar é que, toda vez que tiver dado de ser humano envolvido, necessariamente terá a aplicação da LGPD! 

Apesar do tema possuir uma resistência inicial por parecer técnico demais, a legislação é bastante didática e buscou, ainda, determinar os "personagens" da LGPD e conceitua-los. Assim: 

Titular: é a pessoa natural a quem se referem os dados pessoais que são de alguma forma tratados. 

Controlador: é a pessoa, tanto física quanto jurídica de Direito Público ou Privado que vai tomar as decisões de como devem ser realizados os tratamentos dos Dados Pessoas. 

Operador: também é a pessoa física ou jurídica , tanto faz se de direito público ou privado que vai, realmente, fazer o tratamento de dados. 

Por fim, o Encarregado, ou "Data Protection Officer"é o indivíduo indicado pelo controlador que fará a função de comunicação entre os Titulares que terão seus dados processados e o Controlador.

A LGPD ainda é um tema que deixa muita gente inquieta e preocupada, contudo, a recomendação da maioria dos profissionais referências da área do Direito Digital no Brasil, como : Patrícia Peck Pinheiro e Renato Opice Blum afirmam a importância da conscientização geral dos funcionários da empresa sobre a legislação, assim como um rigoroso diagnóstico, mapeamento dos dados para que possa realizar um direcionamento objetivo e preparar um plano de ação para implementar a LGPD. 

A ideia é que se faça adequações, um maior controle na base de dados, revisar os contratos que tratem dados pessoais e revisar Políticas de Privacidade e Termos de Uso. 

Para casos mais complexos há ainda a recomendação de instalação de Compliance regulatório para as empresas adequarem suas atuações com as normas de proteção de dados (LGPD e GDPR).

*TAÍSA PEREIRA CARNEIRO

- Advogada atuante nas áreas dos Direitos Administrativo e Constitucional;
- Possui Especialização em Compliance(FGV- SP).











Nota do Editor:

Todos os artigos publicados no O Blog do Werneck são de inteira responsabilidade de seus autores.

Um comentário: