A Lei Geral de Proteção de Dados entrou em vigor no dia 18 de setembro de 2020 e, devido a sua grande repercussão, trouxe uma série de dúvidas sobre suas consequências, tais como: o que pode ou não ser feito, a quem se aplica, o que muda na rotina das empresas e, principalmente, como se adequar para evitar multas e condenações.
Primeiramente é importante dizer que a LGPD não é nenhum bicho de sete cabeças que veio para atrapalhar ou impossibilitar o exercício de determinadas atividades econômicas. Na verdade, ela apenas trata de regulamentar a forma como dados pessoais podem ser tratados por pessoas físicas e jurídicas.
Isto porque antes da lei não havia uma regulação específica sobre o tema, o que permitia práticas abusivas de alguns mal-intencionados ou trazia insegurança jurídica para quem pretendia agir de maneira correta.
Assim, para melhor compreensão dos impactos da LGPD, é preciso antes conhecer dois conceitos básicos que a lei traz.
O primeiro deles é a definição de dado pessoal, que é uma ou mais informações sobre um indivíduo (chamado de titular pela lei), que pode identificá-lo ou torná-lo identificável. Por exemplo: nome, CPF, e-mail, IP, etc. A lei trata também de um tipo específico, chamado de dado pessoal sensível, que são informações sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, referente à saúde ou à vida sexual, dado genético ou biométrico.
São justamente esses dados pessoais que a LGPD visa proteger, estabelecendo regras sobre como eles podem ser tratados.
O tratamento é justamente o segundo conceito básico da lei, que consiste em toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Entendidos esses dois conceitos, fica mais fácil compreender que a LGPD não proibiu todo e qualquer tipo de tratamento de dados pessoais, apenas trouxe regras sobre como deve ser feito.
Para tanto, após a vigência da lei, o tratamento de dados pessoais somente poderá ser realizado em atendimento a pelo menos uma das dez bases legais previstas, dentre as quais destacam-se o fornecimento de consentimento pelo titular, o cumprimento de obrigação legal, regulatória ou contratual, para a proteção da vida ou da saúde, quando necessário para atender a um interesse legítimo e para a proteção do crédito.
O tratamento de dados pessoais sensíveis e dados de crianças e adolescentes deve observar regras especiais de consentimento e finalidade específicos.
Nem sempre quem efetivamente realiza o tratamento é a mesma pessoa que toma as decisões sobre as operações com os dados pessoais. Por isso a lei tem duas figuras distintas sobre os envolvidos no tratamento, são elas o controlador, a quem competem as decisões referentes ao tratamento de dados pessoais, e o operador, que realiza o tratamento de dados pessoais em nome do controlador.
Uma dúvida comum é sobre a quem a LGPD se aplica. A lei previu um alcance longo, estando sujeita a sua regulamentação pessoas físicas e jurídicas que façam qualquer operação de tratamento que seja realizada no território nacional, que tenha por objetivo a oferta ou o fornecimento de bens ou serviços, o tratamento de dados de indivíduos localizados no território nacional, ou aquela cujos dados pessoais objeto do tratamento tenham sido coletados no território nacional.
Há algumas exceções quanto à aplicação da lei, como, por exemplo, tratamento de dados pessoais realizado por pessoa física para fins exclusivamente particulares e não econômicos, para atividades jornalística, artística, acadêmica, ou para segurança pública e defesa nacional.
Cabe destacar que a LGPD trouxe uma série de direitos aos titulares em relação aos seus dados pessoais, tais como a confirmação da existência de tratamento, o acesso aos seus dados e correção de informações incompletas, inexatas ou desatualizadas, a anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados fora dos limites legais, a portabilidade e a eliminação de dados, acesso a informações de compartilhado de dados, possibilidade de não fornecer consentimento e sobre as consequências da negativa, além da revogação do consentimento concedido para tratamento.
Em relação às consequências por violações ou inobservância aos deveres previstos na lei, pode haver a aplicação de sanções administrativas, como advertência, multas, publicização da infração, bloqueio e eliminação de dados pessoais, suspensão de banco de dados e proibição parcial ou total de realizar atividades de tratamento. Pode ainda haver a adoção de medida judiciais, como as penalidades já expostas, e o dever de ressarcir e indenizar pelos danos causados.
Feitas estas considerações, restam as perguntas de como é feita na prática a adequação à LGPD, a fim de evitar as penalidades, e como isso afeta o dia a dia de quem faz tratamento de dados.
Cabe aqui mencionar os princípios norteadores da LGPD, que são: finalidade; adequação; necessidade; livre acesso; qualidade dos dados; transparência; segurança; prevenção; não discriminação; responsabilização e prestação de contas. Qualquer movimento de adequação deve ter como horizonte o respeito a estes princípios. Isto porque a lei trata de uma série de deveres e obrigações, mas não diz como exatamente cumpri-los. Na prática acaba-se por recorrer a outras fontes além da lei, como a normas ou decisões sobre leis internacionais mais maduras.
Em geral, o processo de adequação passa pelas seguintes fases: estruturação de uma instância interna responsável pelas atividades de conformidade, mapeamento dos dados pessoais, análise de riscos, elaboração e revisão de documentos, tais como contratos, políticas, relatórios e controles internos, realização de treinamentos e monitoramento contínuo.
Sobre a instância interna, a LGPD previu a figura do encarregado, que é a pessoa indicada para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados – ANPD, órgão público responsável pela regulamentação da proteção de dados no Brasil.
Em linhas gerais, estes são os principais conceitos da LGPD e como ela afeta o dia a dia daqueles que fazer tratamento de dados. Entendidos esses pontos fica mais fácil compreender o que deve ser feito a fim de estar em conformidade com a lei e evitar danos e despesas evitáveis.
Walter Segundo é advogado, pós-graduado em processo penal, com Certificação Profissional em Compliance Anticorrupção CPC-A e CEO da Probus Compliance.
