• Eduardo Natale

Quando a Lei Geral de Proteção de Dados se aplica (ou não)



Muito se fala que a Lei Geral de Proteção de Dados (LGPD) aplica-se a praticamente todas as empresas, independente do seu ramo de atividade. É verdade, inclusive é daí que vem o “Geral” no nome da lei. Contudo, como é comum no Direito, as regras possuem exceções.

Quando exatamente temos que obedecer? E quando não temos? Acompanhe-nos neste artigo para entender mais a fundo a aplicabilidade da LGPD.

Quando a LGPD se aplica


Para começar, temos que a LGPD se aplica a qualquer tratamento de dados pessoais, realizado através de qualquer meio, por qualquer pessoa.

Qualquer tratamento de dados


Não importa o tipo de tratamento efetuado. Seja ele coleta, armazenamento, compartilhamento ou alguma outra das vinte atividades especificadas pela lei de dados para conceituar tratamento, se utilizou dado pessoal de alguma forma, está coberto.


Qualquer meio


Não importa o meio em que o tratamento foi realizado, seja ele analógico ou digital, físico ou eletrônico, etc. Por exemplo, tanto o prontuário médico eletrônico como o prontuário em papel.


Qualquer pessoa


A pessoa que realiza o tratamento pode ser uma pessoa natural (física) ou jurídica. Dentro das pessoas jurídicas, tanto aquelas do setor privado, principalmente as empresas, como do setor público, inclusive o governo e órgãos públicos.


Essas pessoas são chamadas de agente de tratamento e podem ser classificas em controlador e operador. Saiba a diferença neste artigo.

Entendidos esses três pontos básicos, existe uma delimitação em função do espaço físico.

Territorialidade


Quanto ao aspecto territorial, as regras são um pouco mais complexas. Não importa o país do agente de tratamento, nem onde os dados estejam localizados, desde que o tratamento:

  • seja realizado no Brasil;

  • tenha por objetivo a oferta de bens ou serviços a indivíduos localizados no Brasil;

  • seja de dados de indivíduos localizados no Brasil; ou

  • seja de dados que tenham sido coletados no Brasil.

Percebemos, diante disso, que a LGPD não é sobre os dados dos brasileiros, necessariamente, mas sim dos dados “no Brasil”. É, na verdade, sobre o tratamento de dados pessoais relacionados com o território brasileiro, nas situações acima listadas.

Dessa forma, o nacional ou estrangeiro que está ou esteve no Brasil, poderá sofrer a incidência da LGPD. Se ele teve algum dado coletado enquanto estava aqui, já é suficiente para determinar sua aplicação, mesmo que em seguida tenha saído do país e o tratamento ocorra em outra nação.


Isso nos leva a outro aspecto importante: a extraterritorialidade. A LGPD possui efeito extraterritorial, isso é, tem aplicabilidade para fora do Brasil.


Ao estabelecer que a lei se aplica aos indivíduos aqui localizados ou aos dados que aqui tenham sido coletados, logo não importa onde sejam realizadas as atividades de tratamento ou onde esteja o agente de tratamento. Mesmo que esteja em qualquer outro país do mundo, a LGPD será aplicável.


Quando a LGPD não se aplica


Entendida a regra, podemos passar para as exceções. A LGPD não se aplica aos tratamentos realizados para fins exclusivamente:

  • particulares e não econômicos, se pessoa física;

  • jornalísticos;

  • artísticos;

  • acadêmicos (mas só pode ocorrer com apoio em uma base legal de tratamento);

  • de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais.

Para finalizar, tem mais uma regra importante, que merece um detalhamento. De acordo com o artigo 4º, IV, a LGPD não se aplica quando os dados pessoais são

provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta Lei.

Vamos destrinchar essa regra, difícil de entender à primeira vista, através de um exemplo. A empresa ‘A’, brasileira, é operadora da empresa ‘B’, controladora e uruguaia. São tratados apenas dados de indivíduos uruguaios.


Como o Uruguai é um país que possui um bom nível proteção de dados pessoais, compatível com o nosso, a empresa ‘A’ não precisará obedecer à LGPD, justamente em razão da ‘B’ já proporcionar um grau adequado de proteção aos dados em questão.

Agora, se ‘B’ tivesse sede em um outro país que não possui uma legislação parecida de proteção de dados, então ‘A’ teria que obedecer à LGPD.


Isso é possível porque o tratamento de ‘A’ é limitado, de certa forma. Se ‘A’ compartilhasse esses dados com outras empresas brasileiras ou enviasse os dados para um terceiro país, essa exceção não valeria. Ou seja, a LGPD seria aplicável.

Conclusão


Percebe-se que a abrangência da LGPD é muito grande. Especialmente no caso de empresas, praticamente todas as empresas brasileiras terão que obedecer a LGPD e estar em compliance.


Até existe exceção no caso de empresas, a respeito de dados provenientes do estrangeiro, como visto na segunda parte. Contudo, essa hipótese representa uma parcela muito pequena.


Além disso, mesmo nesse caso em que a LGPD não se aplica, a lei de proteção de dados do outro país, sim. Então, de qualquer modo, a adequação às normas de proteção de dados, em sentido mais amplo, é essencial para todas as empresas. Sua empresa já está em compliance?

Se você tiver qualquer pergunta, fique à vontade para mandar um e-mail para contato@natale.adv.br


Inscreva-se na nossa newsletter

Receba no seu e-mail nossos artigos sobre Proteção de Dados

2020 Eduardo Natale Advocacia. Todos os direitos reservados.

  • Linkedin
  • Twitter
  • Facebook