publications
Article
LGPD - O que é e como funciona.
Gabriele Legroski e Priscila Garcia
Você já deve ter ouvido falar nela: L-G-P-D!
Pois é, não é novidade que a Lei Geral de Proteção de Dados (Lei nº 13.709, de 14 de agosto de 2018,) já chegou e com ela é inevitável um grande impacto no ambiente de negócios no nosso país. E-Commerce, Instituições Financeiras, Hospitais, Escolas, Lojas de Shopping (ou não), órgãos públicos, enfim, todos nós devemos nos adequar a ela!
Desde 2020, a LGPD – inspirada na “General Data Protection Regulation” (GDPR) da União Europeia – criou um cenário nacional completamente novo com relação à proteção de dados, assim é fundamental que Você esteja familiarizado(a) com o que diz a lei para tomar as medidas mais adequadas à sua Empresa no âmbito da coleta e tratamento de dados.
Mas, afinal, o que é a LGPD e como ela funciona? Quais os dados protegidos por ela? Como Você deve se adequar? Quais são as penalidades? Pensando nisso, nós do VLMA, elaboramos um conteúdo exclusivo sobre a LGPD, dividindo-o em 02 partes, respondendo estas e outras principais perguntas.
Nesta primeira parte trataremos das 05 (cinco) principais dúvidas teóricas acerca do tema. Na sequência, falaremos sobre as questões práticas! E aí, preparado(a)?
Então, vamos começar:
1. Você sabe o que é a LGPD?
A LGPD foi aprovada em agosto de 2018 e está em vigência desde agosto de 2020. Ela foi criada com o objetivo de assegurar um cenário de segurança jurídica, padronizando normas e práticas a fim de promover a regulação da privacidade e a proteção aos dados pessoais de todas as pessoas que estejam em território nacional, não importando se estes dados são físicos ou digitais.
Além disso, a LGPD nos apresenta a figura da Autoridade Nacional de Proteção de Dados (ANPD) - órgão da administração pública federal que fiscaliza o cumprimento desta lei e de todas as práticas relacionadas à proteção de dados. Para garantir ainda mais a segurança jurídica no país, a ANPD publicou, em maio de 2021, um Regulamento de Fiscalização e Aplicação de Sanções Administrativas, o qual dispõe sobre a fiscalização e a aplicação de sanções pela ANPD, podendo ser aplicado aos agentes de tratamento – pessoas naturais ou jurídicas, de direito público ou privado.
2. Quais os princípios legais previstos pela LGPD para o tratamento de dados pessoais?
A LGPD também estabelece 10 princípios que devem ser observados por empresas públicas e privadas no tratamento de dados.
São eles:
- Finalidade: Aqui, Você e/ou sua Empresa devem se atentar à coleta de dados para fins legítimos, informando sempre a finalidade de tal coleta aos usuários.
- Adequação: Prevê a disponibilização de todas as informações sobre a coleta e tratamento dos dados aos usuários, de forma honesta, conforme as finalidades informadas ao(à) titular;
- Necessidade: Neste ponto, Você e/ou sua Empresa devem manter e utilizar apenas dados essenciais, deletando-os quando tornarem-se irrelevantes;
- Livre Acesso: Aqui, Você e/ou sua Empresa devem ser capazes de apresentar os dados
- e suas funcionalidades sempre que requisitados pelos usuários;
- Precisão: Significa que Você e/ou sua Empresa devem manter os dados de forma precisa, eliminando/atualizando dados imprecisos ou errôneos;
- Transparência: Você e/ou sua Empresa devem informar os usuários de forma clara e acessível sobre o uso de seus dados;
- Segurança: Você e/ou sua Empresa devem tomar as medidas necessárias para proteger os dados de furtos, perdas e danos;
- Não Discriminação: Neste ponto, Você e/ou sua Empresa não devem utilizar os dados para fim discriminatório, abusivo ou ilícito;
- Prevenção: Aqui, Você e/ou sua Empresa devem tomar as medidas preventivas para a proteção dos dados, evitando danos aos titulares; e
- Responsabilidade: Significa que Você e/ou sua Empresa devem adotar tais princípios e provar sua adequação em todos os seus processos.
Estes princípios são norteadores da LGPD e estabelecem, consequentemente, obrigações aos agentes no tratamento de dados.
3. Quais são os tipos de dados pessoais?
É considerado dado pessoal qualquer informação que possibilite a identificação, direta ou indireta, de uma pessoa física.
São exemplos:
- Nome e apelido; e
- Número de CPF/RG.
Os dados abaixo são considerados dados pessoais para a LGPD quando vinculados com algum dos dados acima:
- Endereço;
- E-mail;
- Número de um cartão de identificação;
- Dados de localização, como por exemplo, a função de dados de localização no celular;
- Endereço IP ;
- Cookies; e
- Identificador de publicidade do seu telefone.
Dentre os dados pessoais, há aqueles que estão sujeitos a condições de tratamento específicos, ou seja, que exigem maior atenção em razão de possuírem maior potencial discriminatório: os dados sensíveis, ou seja, dados que revelem informações sobre crianças e adolescentes, incluindo origem racial ou étnica, convicções religiosas ou filosóficas, opiniões políticas, filiação sindical, questões genéticas, biométricas e sobre a saúde ou a vida sexual de uma pessoa.
Portanto, a principal diferença entre o tratamento de dados pessoais e dados pessoais sensíveis é que nesta última, como regra, a base legal aplicada é o consentimento, de forma destacada, para finalidades específicas.
4. E o que é o consentimento?
É a manifestação livre, inequívoca e informada, através da qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.
Atenção:
- O consentimento e sua finalidade devem estar claros e destacados!
- Quando o dado for de menores de idade é imprescindível obter o consentimento inequívoco de um dos pais ou responsáveis e se ater a pedir apenas o conteúdo estritamente necessário, não repassando nada a terceiros!
- No caso dos dados sensíveis, o tratamento depende do consentimento explícito da pessoa e deve ser para um fim definido.
A coleta de dados sem o consentimento do titular é possível quando for indispensável, ou seja, em situações ligadas a uma obrigação legal, a políticas públicas, a estudos via órgão de pesquisa, a um direito, em contrato ou processo, à preservação da vida e da integridade física de uma pessoa, à tutela de procedimentos feitos por profissionais das áreas da saúde ou sanitária, e à prevenção de fraudes contra o titular.
5. Responsabilidade civil: objetiva ou subjetiva?
Uma questão ainda não pacificada sobre a LGPD é a responsabilidade civil do operador ou controlador de dados pessoais da Empresa.
Há quem diga que estaríamos tratando de uma responsabilização objetiva dos agentes de tratamento, tornando-os responsáveis pelos danos causados aos titulares, independentemente da prova de culpa.
Por outro lado, há também quem defenda a adoção da responsabilização subjetiva, se fazendo necessária a análise da conduta do agente, tendo como base o art. 929 do Código Civil que estabelece que a responsabilidade objetiva ocorre somente em casos especificados em lei ou quando a atividade desenvolvida implicar, em sua natureza, atividade e risco.
Outro ponto defendido para sustentar a responsabilidade subjetiva são os standards de conduta a serem seguidos pelos agentes de tratamento de dados para segurança, sigilo, boas práticas e governança de dados, constantes nos artigos 46 a 54 da LGPD.
Ainda, a lei estabelece, em seu artigo 43, hipóteses de excludentes de responsabilidade, de forma que a adoção de uma responsabilidade objetiva ao tratamento de dados parece ser contraditória ao espírito da LGPD, a qual busca incentivar os agentes de tratamento a adotar boas práticas e standards de conduta, evitando, assim, que estes sejam responsabilizados caso não haja culpa, efetivamente.
No entanto, a jurisprudência nacional tem adotado a responsabilidade objetiva mediante aplicação da teoria do risco nas relações de consumo (art. 12 e 14 do Código de Defesa do Consumidor), bem como do art. 42 da LGPD, o qual dispõe que o controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar dano a outrem, em violação à legislação (LGPD), é obrigado a repará-lo.
Enquanto não há um posicionamento definitivo acerca do tema é importante ressaltarmos que, caso necessário, Você e/ou sua Empresa poderão demonstrar em juízo as medidas efetivamente tomadas para manter a conformidade com a legislação e a regulação de proteção de dados, resguardando-se na hipótese de responsabilização! Então vamos à parte prática? Por quê, como, em quantas etapas se adequar?
Acompanhe no próximo informativo sobre o tema!