• Eduardo Natale

Introdução à Lei Geral de Proteção de Dados (LGPD)



O objetivo deste artigo é proporcionar uma visão geral do que se trata a LGPD, trazendo alguns dos mais importantes conceitos para o leitor familiarizar-se com a disciplina de proteção de dados.


Particularmente, considero bastante proveitoso começar um estudo pelo nome da matéria. Em razão disso, vamos começar respondendo a seguinte pergunta: por que “Lei Geral de Proteção de Dados”?




Entendendo o nome


Lei


Obviamente, todos sabem o que significa uma lei. Entretanto, diante do cenário em que vivemos, cabe reforçar aqui a sua obrigatoriedade. Não é uma mera sugestão, recomendação ou uma lei que cairá no esquecimento e desuso. Todos devem segui-la, sob pena de arcarem com as sanções da lei.


É bem verdade que no Brasil muitas vezes existe a noção de que uma lei “não vai pegar”, seja pela desobediência do brasileiro, pela (não rara) fiscalização insuficiente dos órgãos públicos ou outro motivo. Inclusive, o atraso na constituição da autoridade nacional (ANPD) e as diversas tentativas no Congresso Nacional para adiar a vigência da lei reforçaram esse sentimento.


Contudo, trazemos três fortes motivos para acreditar que a LGPD de fato “pegará”.


Primeiro, possuir uma lei de proteção de dados é uma necessidade no cenário mundial em que vivemos. Nesse sentido, a GDPR, lei europeia sobre a matéria, exige que os outros países tenham uma legislação de proteção de dados de mesmo nível para que possa haver uma transferência internacional de dados. O Brasil não vai querer perder esse importante parceiro comercial (diria que até não pode se dar o luxo), especialmente diante do relativamente recente acordo comercial entre Mercosul e União Europeia.


Segundo, A LGPD já fundamenta decisões judiciais antes mesmo de estar em vigência. Por exemplo, o recente julgamento pelo STF a respeito da Medida Provisória 954/2020. Neste, a maioria dos ministros considerou que a MP feria princípios da LGPD (falaremos deles adiante), ao não definir a finalidade, coletar mais dados do que o necessário e não adotar medidas de segurança.


Por fim, mesmo que a fiscalização da ANPD seja precária, outros órgãos também podem auxiliar nessa tarefa. Mais do que uma possibilidade, já é uma realidade, mesmo antes do início da vigência da LGPD.


Por exemplo, nos últimos anos, o Ministério Público do Distrito Federal e Territórios (MPDFT) ingressou com ações judiciais para proteger os dados pessoais dos brasileiros, diante dos casos de vazamento de dados da Uber e Netshoes.



Geral


A LGPD se aplica a todos os setores da economia e independe do meio em que o tratamento de dados ocorre, seja no meio físico ou virtual.


Como toda regra, existem algumas exceções em que a LGPD não se aplica. Saiba mais aqui.



De Proteção de Dados


O que é proteção de dados? Esse é um conceito que a LGPD não trouxe. Contudo, no seu artigo 2º, estabeleceu diretrizes para sua aplicação e interpretação. Afirmou assim: a disciplina da proteção de dados pessoais tem como fundamentos:

  • o respeito à privacidade;

  • a autodeterminação informativa;

  • a liberdade de expressão, de informação, de comunicação e de opinião;

  • a inviolabilidade da intimidade, da honra e da imagem;

  • o desenvolvimento econômico e tecnológico e a inovação;

  • a livre iniciativa, a livre concorrência e a defesa do consumidor; e

  • os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.


Sem entrar em detalhes sobre cada um desses fundamentos, pois não é o objetivo desta introdução, é importante ter noção que a proteção de dados tem relação com todos esses pontos. Mais do que isso, a proteção de dados constrói-se em cima dessa fundação. Assim, o tratamento de dados pessoais deve cuidar de cada uma dessas questões, contrabalanceado-as e harmonizando-as a depender do seu contexto.


Digamos, por ora, que proteção de dados é, em apertada síntese, cuidar dos dados pessoais de tal forma que respeite o titular, na medida cabível dos seus direitos, ao mesmo tempo que permita o desenvolvimento econômico.




O que é tratamento de dados pessoais


Fundamental compreender, de início, o que é tratamento e o que são dados pessoais, visto são expressões frequentemente utilizadas ao falar do assunto.


Tratamento é, de acordo com o art. 5º da LGPD, qualquer uma das seguintes operações:

  • coleta, produção ou recepção;

  • arquivamento ou armazenamento;

  • classificação, utilização, reprodução, processamento, avaliação ou controle da informação, extração ou modificação;

  • transmissão, distribuição, comunicação, transferência ou difusão;

  • eliminação.

Diante disso, você estará seguro em concluir que tratamento é qualquer atividade envolvendo dado pessoal.


Já dado pessoal é qualquer informação relacionada a pessoa natural identificada ou identificável. Importante, também, compreender uma categoria de dado pessoal: o dado pessoal sensível. Esse é definido como o dado pessoal referente a:

  • origem racial ou étnica;

  • convicção religiosa;

  • opinião política;

  • filiação a sindicato ou a organização de caráter religioso, filosófico ou político;

  • saúde ou vida sexual;

  • dado genético ou biométrico, quando vinculado a uma pessoa natural.

Diante disso, o dado sensível é aquele que pode trazer discriminação de alguma forma ao titular.




Princípios do tratamento de dados pessoais


Entendido o que é tratamento, é importantíssimo compreender as linhas gerais que ele deve seguir. A LGPD traz, no seu art. 6º, dez princípios pelos quais o tratamento deve pautar-se. São eles:

  • finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

  • adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;

  • necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

  • livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;

  • qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

  • transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

  • segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

  • prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

  • não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;

  • responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Se você realmente compreender isso, já terá meio caminho andado. Esses princípios são realmente a base da LGPD, a estrutura que deve sustentar o tratamento de dados pessoais.




Pessoas envolvidas no tratamento de dados pessoais


No fundo, sempre trata-se de pessoas. A LGPD trouxe diversos conceitos novos, que merecem ser conhecidos. Você pode ver nosso glossário aqui.


Alguns dos mais importantes são aqueles relacionados aos sujeitos envolvidos no tratamento. São eles:

  • titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;

  • controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;

  • operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

  • encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);

  • agentes de tratamento: o controlador e o operador;


Para uma empresa adequar-se à LGPD, é fundamental entender se atua como controlador ou operador, tendo em vista que possuem obrigações distintas.

Quando se pode realizar um tratamento de dados pessoais


O tratamento de dados só pode ocorrer nas circunstâncias previstas em lei. Existe uma série de hipóteses, chamadas normalmente de bases legais, para os dados pessoais e outra para os dados pessoais sensíveis.


São bases legais para o tratamento de dados pessoais normais:

  • consentimento do titular;

  • cumprimento de obrigação legal ou regulatória pelo controlador;

  • execução de políticas públicas pela administração pública;

  • realização de estudos por órgão de pesquisa;

  • execução de contrato do qual seja parte o titular;

  • exercício regular de direitos em processo judicial, administrativo ou arbitral;

  • proteção da vida ou da incolumidade física do titular ou de terceiro;

  • tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;

  • legítimo interesse do controlador ou de terceiro; e

  • proteção do crédito.

De outro lado, temos que o tratamento de dados pessoais sensíveis só pode ocorrer com o consentimento ou, quando este não for possível, nas hipóteses em que seja indispensável para o(a):

  • cumprimento de obrigação legal ou regulatória pelo controlador;

  • execução de políticas públicas pela administração pública;

  • realização de estudos por órgão de pesquisa;

  • exercício regular de direitos em processo judicial, administrativo ou arbitral;

  • proteção da vida ou da incolumidade física do titular ou de terceiro;

  • tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;

  • garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos.



Conclusão


Evidentemente, há muito mais para se falar sobre a LGPD. Essa lei contém 65 artigos e só tratamos de alguns aqui. Contudo, com a presente introdução, você já tem uma boa noção do que é a lei brasileira de proteção de dados.


Se você gostou deste artigo, convidamos você a explorar os outros artigos do nosso blog e aprender um pouco mais sobre o importante tema da proteção de dados, que tanto afeta a todos nós.




Se você tiver qualquer pergunta, fique à vontade para mandar um e-mail para contato@natale.adv.br

Inscreva-se na nossa newsletter

Receba no seu e-mail nossos artigos sobre Proteção de Dados

2020 Eduardo Natale Advocacia. Todos os direitos reservados.

  • Linkedin
  • Twitter
  • Facebook