Depois de anos de batalha, a Lei Geral de Proteção de Dados (LGPD) , aprovada em 2018, após a negativa do Congresso Nacional em prorrogar inicio de sua vigência, entrou em vigor nesta última sexta-feira (18/09/2020).

A chamada LGPD (Lei nº 13.709/2020) disciplina diversos aspectos e procedimentos: define categoria de dados; esclarece para quem vale suas normas; determina hipóteses, coleta e tratamento de dados; define direitos dos titulares de dados; especifica detalhes e condições especiais para dados sensíveis e segmentos (como crianças e adolescentes); estabelece obrigações às empresas para coleta, tratamento e uso de informações pessoais; cria regime diferenciado para uso e tratamento de dados pelo Poder Público; define sanções em casos de violações e prevê a constituição de uma autoridade nacional.

Por definição da Lei, dados pessoais são informações que podem identificar alguém e, neste contexto, foi ainda definido uma categoria de “dados sensíveis”, que trata de qualificação pessoal com dados sobre origem racial ou étnica, convicções religiosas, politicas e sexuais, informações pessoais desta ordem, devem ter maior proteção, de forma a evitar vazamento e formas de discriminação.

A lei define que tais normas, procedimentos e sanções valem para todo o território nacional ainda que a coleta tenha ocorrido fora do país, desde que sejam tratados e se relacionem com bens e serviços disponibilizados ou realizados no Brasil.

Entretanto cria exceção para tratamento de dados pelo Estado para Segurança Pública, defesa nacional e investigação e repressão de infrações penais, o que será objeto de legislação específica.

A norma define como Tratamento de Dados “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”.

O tratamento de dados só poderá ocorrer em determinadas hipóteses, sendo a principal delas, mas não a única, a autorização pelo titular das informações. Casos de cumprimento de obrigação legal, estudos por órgão de pesquisa, proteção da vida do titular ou de terceiro, tutela da saúde por profissionais ou autoridades da área são excepcionados na Lei. É também exceção o consentimento para o caso da criação do cadastro positivo.

Empresas devem aplicar muito cuidado na obtenção, tratamento e divulgação de dados pessoais, pois o consentimento deve ser provado por quem recebe os dados, determinando ainda que tal consentimento deve ser por escrito ou por outro meio que mostre claramente a vontade, de forma expressa do titular em cláusula destacada, que defina o objetivo e finalidade e ainda que autorize eventual uso, tratamento e repasse de tais informações, determinando o uso de dados estritamente necessários.

Os casos dos dados sensíveis são ainda mais preocupantes, pois têm regras especificas que serão regulamentadas por uma Autoridade Nacional que definirá a possibilidade de tratamento e uso de tais dados com vantagem econômica.

A LGPD estabelece os direitos dos titulares, definindo que a autorização concedida deve determinar a finalidade dos dados, sendo necessário novo consentimento para fim distinto daquele original, devendo ser definido e esclarecido toda a cadeia de tratamento das informações coletadas, podendo ainda ser revogado tal consentimento a qualquer momento.

O titular dos dados pode requerer a uma determinada companhia a confirmação da existência do tratamento de seus dados, saber sobre eventual compartilhamento com algum órgão público ou  proibir a portabilidade de seus dados.

A coleta e tratamento de dados de crianças também tem regras próprias definidas na Lei, sendo necessário o consentimento de um dos pais, sendo tratado como exceção quando o intuito da coleta dos dados seja localizar ou contatar os pais. A obtenção de dados de crianças além do necessário não poderá ser condicionada ao uso de jogos ou aplicações de Internet.

Os dados podem sempre ser contestados e requerido a revisão por parte do titular, sendo o caso de concessão de crédito ou contratação de um serviço, caso de processo seletivo ou disponibilização de conteúdos em redes sociais, devendo o controlador dos dados esclarecer os critérios e procedimentos adotados.

A LGPD define claramente os papeis e funções de cada agente na cadeia de tratamento de dados sendo: Titular – Aquele a quem é relacionado os dados; Controlador – aquele a quem compete as decisões sobre o tratamento e o operador – aquele que realiza o tratamento dos dados.

Obrigações das empresas

Foram determinadas diversas obrigações às empresas, para o cuidado com o tratamento e a transparência para com os dados coletados. Ao coletar os dados as empresas devem informar a finalidade, manter registro sobre as atividades de tratamento, de forma que possam ser apresentadas por requerimento dos titulares ou analisadas pela Autoridade Nacional em prazo de até 15 dias.

Em caso de solicitação as empresas devem apresentar relatórios que comprovem o risco de impacto à proteção dos dados pessoais coletados.

Devem também manter registro e arquivos do consentimento dos titulares dos dados respeitando as finalidades para as quais foram consentidas.

Medidas de proteção de dados podem ser vitais para a imagem e para a segurança das empresas, evitando prejuízos.

Profissionais de TI e Marketing devem ser rigorosamente selecionados, suas atividades mais do que nunca devem ser objeto de muita atenção pelas empresas. Mecanismos de compliance mais do que nunca merecem total atenção e rigor. Tratamento de informações merecem total atenção das empresas.

Poder Público

Para o Poder Público, a Lei Geral de Proteção de Dados relativiza o consentimento no tratamento de dados para políticas públicas previstas em leis, regulamentos e contratos. É ainda permitido o uso compartilhado de dados por entes públicos, desde que respeitados os princípios previstos na norma. Porém é obrigatório que cada órgão informe as hipóteses de tratamento de dados, incluindo a base legal, a finalidade e os procedimentos empregados.

Sanções e fiscalização

A LGPD define as sanções para o caso de violação das regras por ela determinadas, partindo de advertências, com possibilidade de medidas corretivas; multa de até 2% do faturamento com limite de até R$ 50 milhões; bloqueio ou eliminação dos dados pessoais relacionados à irregularidade, suspensão parcial do funcionamento do banco de dados e proibição parcial ou total da atividade de tratamento.

A Autoridade Nacional de Proteção de Dados (ANPD), órgão criado com vinculação à Presidências da República, fica encarregado da fiscalização, porém atém o momento a ANPD não foi instituída pelo Planalto. Foi editado decreto com a estrutura do órgão, mas na prática, ele ainda não existe.