LGPD – O que é a Lei Geral de Proteção de Dados Pessoais e como ela impacta o mundo econômico, tecnológico e jurídico

LGPD

LGPD é a sigla para Lei Geral de Proteção de Dados Pessoais, ementa e nome pelo qual ficou conhecida a Lei 13.709, de 14 de agosto de 2018.

A LGPD disciplina o tratamento de dados de pessoas naturais com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e também o livre desenvolvimento da personalidade da pessoa natural.

Para isso, a lei baseia-se no pilar de que as pessoas são proprietárias de seus dados e o de que esses dados, em regra, só podem ser utilizados com o consentimento expresso de seus proprietários ou em outros casos expressamente previstos em lei.

A Lei Geral de Proteção de Dados Pessoais traz uma série de exigências a serem cumpridas por qualquer um que lide com dados pessoais, em meios digitais ou não. O descumprimento de tais exigências pode gerar multas de até R$ 50 milhões.

Para entender melhor o que é LGPD e como ela deve ser implementada, veremos em detalhes a seguir:

O primeiro passo é entendermos no detalhe o que é LGPD.

O que é LGPD?

Dados pessoais têm sido apontados por muitos como os mais valiosos ativos que uma organização pode possuir.

Com uso de tecnologia, uma empresa com grande base de dados pessoais é capaz de prever o comportamento do consumidor, identificar demandas, oferecer soluções personalizadas e muito mais. Pode, portanto, transformar dados em resultados.

Até mesmo eleições podem ser decididas com o uso estratégico de dados pessoais, como ficou claro no escândalo da Cambridge Analytica durante as eleições estadunidenses em 2016 1.

Por conta disso, disciplinar o uso de dados pessoais tornou-se imprescindível para diversos países. Estima-se que mais de cem países atualmente já possuam leis sobre o tema.

Ainda em 2016, a União Europeia editou o seu General Data Protection Regulation (GDPR), regulamentando o uso de dados pessoais em todos os países do bloco. Além disso, o GDPR restringe a realização de negócios da União Europeia com países que não tenham uma adequada regulamentação sobre o uso de dados pessoais.

Assim, o Brasil movimentou-se para criar a sua própria Lei Geral de Proteção de Dados Pessoais. O processo legislativo contou com contribuições da sociedade, buscando replicar o modelo utilizado com sucesso na elaboração do Marco Civil da Internet 2.

Vários projetos de lei que estavam em tramitação no Congresso Nacional foram considerandos, alguns apensados ao PL 4060/2012, do deputado Milton Monti, que resultou na edição da Lei 13.709, de 14 de agosto de 2018.

Com a entrada em vigor da lei, as pessoas terão que expressamente consentir para que seus dados possam ser coletados, tratados e comercializados. Além disso, terão direito a acessar, corrigir, copiar, transferir e solicitar a exclusão de seus dados.

Em outras palavras, a lei coloca as pessoas naturais como proprietárias de fato e de direito de seus próprios dados.

Isso é especialmente importante para o Direito Digital quando percebemos que quase todos os serviços que utilizamos “gratuitamente” no mundo online, na verdade, estão sendo pagos com nossos dados pessoais.

Para que serve a LGPD?

LGPD

A Lei Geral de Proteção de Dados possui dois objetivos expressos:

Tal proteção é feita por meio de uma série de regras sobre a obtenção, o uso e até mesmo o descarte dos dados pessoais, entendidos como qualquer informação relacionada a pessoa natural identificada ou identificável.

Só são titulares das proteções objetivadas pela LGPD, portanto, as pessoas naturais a quem se referem os dados pessoais em tratamento 3.

Dados de pessoas jurídicas, como CNPJ, endereço comercial ou razão social, não são considerados dados pessoais nos termos da LGPD.

Categorias de Dados

Os dados dividem-se em categorias:

Os dados anonimizados, em regra, são utilizados em aplicações de inteligência artificial, aprendizado de máquina e análise comportamental.

Caso seja possível reverter o processo que gerou a anonimização, tornando novamente viável a identificação do titular dos dados, os dados anonimizados passam a ser consideradas dados pessoais pela LGPD.

Também passam a ser considerados dados pessoais os dados anonimizados usados para formação do perfil comportamental de uma pessoa, se esta puder ser identificada. Essa forma de uso de dados anonimizados é muito comum em algoritmos que trabalham com análise de perfil comportamental para exibição de publicidade online, por exemplo.

Os dados sensíveis, por sua vez, só podem ser tratados mediante consentimento específico e destacado, para finalidades específicas, ou em casos indispensáveis que envolvam saúde, segurança, cumprimento de obrigações legais etc.

Fundamentos e Princípios da Lei Geral de Proteção de Dados Pessoais

A LGPD relaciona sete fundamentos para a disciplina dos dados pessoais:

  1. Respeito à privacidade
  2. Autodeterminação informativa 4
  3. Liberdade de expressão, de informação, de comunicação e de opinião
  4. Inviolabilidade da intimidade, da honra e da imagem
  5. Desenvolvimento econômico e tecnológico e a inovação
  6. Livre iniciativa, livre concorrência e defesa do consumidor
  7. Direitos humanos, livre desenvolvimento da personalidade, dignidade e exercício da cidadania pelas pessoas naturais

Esses fundamentos relacionam-se aos dez princípios elencados na lei:

  1. Finalidade: o titular deve saber para que os dados estão sendo utilizados. Autorizações para consentimentos genéricos serão consideradas nulas.
  2. Adequação: o uso deve ser adequado à finalidade informada.
  3. Necessidade: só devem ser tratados os dados essenciais ao cumprimento da finalidade específica. Este princípio está relacionado à ideia de a Privacidade por Padrão (Privacy by Default).
  4. Acesso: o titular deve poder acessar de forma livre, fácil e gratuita seus próprios dados.
  5. Qualidade: os dados devem ser exatos e atualizados de acordo com a real necessidade no tratamento.
  6. Transparência: a forma como os dados são utilizados deve ficar clara para o titular, caso contrário o consentimento pode ser considerado nulo.
  7. Segurança: para evitar roubo, destruição, perda ou mau uso dos dados.
  8. Prevenção: contra danos ao titular.
  9. Não discriminação: os dados não podem ser usados para prática de atos ilícitos ou abusivos.
  10. Responsabilização: o agente responde pelas infrações com as sanções previstas na LGPD.

Nota-se que, para cada princípio, existe um direito do titular previsto na lei, que de modo geral garante às pessoas naturais um maior controle sobre seus próprios dados.

Além disso, quaisquer atividades de tratamento de dados pessoais deverão observar a boa-fé como sobreprincípio que guia todos os demais.

Por que a LGPD impacta 100% do mercado

Dados não são inofensivos. Dados não são abstratos quando são pessoais e quase todos os dados coletados atualmente são pessoais. Não são dados pessoais que são explorados, são pessoas que são exploradas. Não são dados de rede que são influenciados ou manipulados, é você quem está sendo manipulado.

Edward Snowden, Web Summit Lisboa 2019.

Um equívoco comum é achar que a LGPD é uma lei que impacta apenas grandes empresas de tecnologia.

Qualquer empresa que trate dados pessoais precisa se adequar ao disposto na lei. Isso inclui dados de funcionários e clientes.

Por isso, é possível afirmar que todas as empresas serão afetadas em maior ou menor grau pela LGPD. Salvo aquelas que não possuam funcionários nem lide com clientes que forneçam dados.

Nas relações de trabalho, por exemplo, a empresa empregadora é a detentora dos dados pessoais de seus funcionários. O tratamento desses dados precisa seguir o disposto na Lei 13.709/2018.

Da mesma forma, um pequeno comércio de alimentos de uma cidade do interior que faça entregas também precisa tratar dados como nome, telefone e endereço de seus clientes nos termos da LGPD.

Claro que empresas que lidam com um volume maior de informações, incluindo aquelas cujo tratamento dos dados faz parte do próprio modelo de negócios, serão mais impactadas pela lei. Isso não exime, contudo, as empresas menores da necessidade de adaptação.

Como implementar a LGPD?

Empresas, governos e outros tipos de organizações passam a ter uma responsabilidade muito maior em relação aos dados que coletam, tratam e armazenam. É a chamada necessidade de compliance.

Acima de tudo, as organizações devem considerar a privacidade dos dados pessoais desde a fase de concepção do serviço ou produto até sua execução (o que é conhecido como Privacy by Design).

O conceito de Privacidade desde a Concepção significa que a privacidade e a proteção de dados devem ser consideradas desde a concepção e durante todo o ciclo de vida do projeto, sistema, serviço, produto ou processo. 5

Um dos primeiros passos será realizar a devida diligência para entender que dados a organização coleta e como eles são tratados, mapeamento todos os processos. O ideal é coletar o mínimo de dados necessários para atender aos objetivos de cada entidade.

Depois, dependendo do caso, pode ser necessário criar departamentos específicos para a gestão de dados e para atendimento às pessoas naturais que solicitem correção, transferência ou exclusão de seus dados. As organizações devem manter o registro das operações de tratamento de dados pessoais que realizarem.

Por fim, será necessário aprimorar questões de segurança e traçar planos de contingência para o caso de vazamento de dados.

As empresas terão que elaborar, quando solicitado pela autoridade nacional, um Relatório de Impacto à Proteção de Dados Pessoais, com a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como as medidas de redução de risco.

Em paralelo, será preciso fazer uma gestão controlada de ativos como bases de dados, documentos, equipamentos, locais físicos, pessoas, sistemas e unidades organizacionais.

Na prática, prevê-se a criação de todo um mercado em torno da LGPD. Isso inclui empresas de treinamento, consultorias técnicas e jurídicas, certificações, profissionais de proteção de dados etc.

Dois grandes incentivos existirão para a conformidade das organizações. O primeiro está na própria lei: multas que podem chegar a R$ 50 milhões. O segundo está na impossibilidade de realizar negócios sem determinadas certificações ou sem cumprir requisitos exigidos pela LGPD.

Em relação à Administração Pública, o Decreto 10.046, de 9 de outubro de 2019, traz disposiçoes sobre a governança no compartilhamento de dados no âmbito da administração pública federal e institui o Cadastro Base do Cidadão e o Comitê Central de Governança de Dados.

O que muda para as pessoas

Para as pessoas naturais, a principal mudança é a garantia de titularidade dos seus próprios dados.

Com isso, os dados de qualquer pessoa só podem ser utilizados, em regra, com o seu consentimento expresso ou em outros casos previstos na legislação 6. O consentimento dado pode ser revogado a qualquer momento.

O ônus da prova do consentimento cabe a quem coleta e trata os dados, sendo vedado o tratamento de dados pessoais mediante vício de consentimento.

Além dessa regra da autonomia da vontade, a lei garante que qualquer pessoa pode acessar, corrigir, transferir, copiar ou até mesmo solicitar a exclusão de seus dados.

Caso algum desses direitos seja desrespeitado, o titular dos dados pode pleitear indenizações para ressarcimento dos danos.

Onde se aplica a LGPD?

A aplicação da Lei Geral de Proteção de Dados Pessoais evidencia mais uma vez a já clássica questão da territorialidade de leis relacionadas ao mundo digital.

Para começar, a lei é de interesse nacional e deve ser observada pela União, Estados, Distrito Federal e Municípios.

Mas não é só isso. A LGPD deixa claro que suas disposições se aplicam a qualquer operação de tratamento de dados realizada por pessoa física ou jurídica, independentemente do país de sua sede ou do país onde estejam localizados os dados.

Assim, mesmo que uma empresa colete e armazene dados em servidores hospedados no exterior, ainda assim terá que se conformar ao disposto na lei.

O art. 3º prevê apenas três condições alternativas para a aplicação da LGPD do ponto de vista territorial:

Em relação a territorialidade, a LGPD não se aplica para dados provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto na lei.

Existem, no entanto, outras exceções à aplicação da Lei Geral de Proteção de Dados Pessoais.

Exceções à aplicação da LGPD

A Lei Geral de Proteção de Dados Pessoais se aplica primordialmente a pessoas físicas ou jurídicas que gerenciem bases de dados com fins econômicos.

Assim, a LGPD não se aplica a atividades realizadas por pessoa natural para fins exclusivamente particulares e não econômicos.

Por exemplo, se você vai dar uma festa de aniversário e faz uma lista com nome e telefone de convidados, não sofrerá a princípio incidência da LGPD.

Além disso, a lei não se aplica ao tratamento de dados pessoais realizado para fins exclusivamente jornalísticos e acadêmicos, em regra.

Também não se aplica ao tratamento de dados pessoais realizado para fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais.

Quem são os envolvidos na LGPD

Ao longo das cinco fases do ciclo de vida do tratamento dos dados pessoais (coleta, retenção, processamento, compartilhamento e eliminação) 7, diversas pessoas interagem com as informações.

A primeira figura é a do Titular, ou seja, a pessoa natural proprietária dos dados.

A seguir, temos o Controlador, como é definida a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.

Abaixo do controlador, há o Operador, definido como pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.

Tanto o Controlador como o Operador são classificados pela LGPD como Agentes de Tratamento. Ambos são solidariamente responsáveis no caso de dano causado ao titular.

Além deles, surge a figura do Encarregado, conhecida no mercado como Data Protection Officer ou simplesmente DPO. O Encarregado pode ser uma pessoa física, com um funcionário da empresa, ou uma pessoa jurídica, como uma consultoria por exemplo.

DPO é a nomenclatura utilizada no texto legal do GDPR. As atribuições do Encarregado na lei brasileira, em comparação, são bem mais reduzidas.

O DPO é a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, o titular dos dados e a Autoridade Nacional de Proteção de Dados. O ideal, portanto, é que o DPO tenha conhecimentos de gestão, de tecnologia e também de Direito.

A previsão legal da figura do Encarregado abre um novo mercado para profissionais que atuam na área de gestão de riscos, compliance, tecnologia e segurança. Diversos cursos e certificados vêm sendo preparados desde a edição do GDPR em 2016.

Por fim, podemos considerar, ainda entre os envolvidos, o Comitê Central de Governança de Dados, instituído pelo Decreto 10.046/2019 para disciplinar a governança no compartilhamento de dados no âmbito da administração pública federal.

A Autoridade Nacional de Proteção de Dados (ANPD)

Acabamos de ver que o DPO atuará como canal de comunicação entre o controlador, o titular dos dados e a Autoridade Nacional de Proteção de Dados. Mas o que é essa ANPD?

A ANPD foi criada pela Lei Geral de Proteção de Dados Pessoais inicialmente como órgão da administração pública federal, integrante da Presidência da República, com a competência de zelar pela proteção dos dados pessoais, nos termos da lei.

Órgãos semelhantes já existem em outros países que possuem legislações de proteção de dados pessoais.

Depois de dois anos, a critério do Poder Executivo, o órgão poderá ser transformado em autarquia em regime especial, a exemplo das agências nacionais de regulação (Anatel, Aneel, ANP etc.).

Mesmo como órgão da Presidência da República, a ANPD deve ter autonomia técnica e decisória.

Tais decisões serão tomadas por um Conselho Diretor composto por cinco diretores escolhidos pelo Presidente da República e por ele nomeados para mandato de quatro anos, após aprovação pelo Senado Federal.

Uma das principais atribuições da ANPD é a de fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à LGPD, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso.

O produto da arrecadação das multas aplicadas pela ANPD será destinado ao Fundo de Defesa de Direitos Difusos.

Para quem gosta de comparar a riqueza dos dados pessoais na era contemporânea com a riqueza do petróleo, a ANPD tem perspectiva de ser uma agência de regulação tão ou mais poderosa do que a Agência Nacional do Petróleo.

O Conselho Nacional de Proteção de Dados Pessoais e da Privacidade

Além da Autoridade Nacional de Proteção de Dados, a LGPD também prevê a criação do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, que deve propor diretrizes estratégicas e fornecer subsídios para a elaboração da Política Nacional de Proteção de Dados Pessoais e da Privacidade e para a atuação da ANPD.

O Conselho Nacional de Proteção de Dados Pessoais e da Privacidade guarda semelhanças com o Conselho de Comunicação Social do Congresso Nacional 8. Ambos são formados por conselheiros não remunerados que atuam como auxiliares na formação de diretrizes em suas respectivas áreas.

Conclusão: os impactos da Lei Geral de Proteção de Dados Pessoais

Dados são o novo petróleo. São valiosos, mas, se não forem refinados, não podem ser utilizados.

Clive Humby, 2006.

A despeito da extensão deste artigo, acredite que esta é apenas uma visão geral bastante introdutória sobre a LGPD.

Assim como o GDPR causou grandes impactos no dia a dia das empresas da União Europeia, a entrada em vigor da Lei Geral de Proteção de Dados Pessoais no Brasil irá mexer com o cotidiano de empresas e também da Administração Pública.

Para os operadores do Direito, abre-se um campo de atuação extenso e relativamente complexo.

Para as empresas e organizações, surge uma série de responsabilidades antes inexistentes ou, no mínimo, não exigidas.

Para as pessoas comuns, garante-se uma ampla gama de direitos que dão maior segurança em relação ao uso de seus dados.

A LGPD, assim, é uma lei que impacta todos. Merece, portanto, ser estudada no detalhe e comentada artigo por artigo, caso a caso, detalhe por detalhe.

Notas

  1. KAISER, Brittany. Manipulados: como a Cambridge Analytica e o Facebook invadiram a privacidade de milhões e botaram a democracia em xeque (2020).
  2. A previsão de uma lei que tratasse da proteção de dados pessoais, inclusive, já existia desde 2014 no art. 3º, III, do próprio Marco Civil da Internet.
  3. Tratamento é toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
  4. Autodeterminação informativa é o direito que cabe ao titular de controlar e de proteger os próprios dados pessoais, tendo em vista a moderna tecnologia e processamento de informação. MARTINS, Leonardo (Org.). Cinquenta anos de jurisprudência do Tribunal Constitucional Federal Alemão. Montevidéu: Fundação Kontad Adenauer, 2005, páginas 233 a 235.
  5. Lei Geral de Proteção de Dados (LGPD) – Guia de Boas Práticas para Implementação na Administração Pública Federal (2020), página 46.
  6. O consentimento pode ser tácito para os dados tornados manifestamente públicos pelo titular, resguardados os direitos do titular e os princípios previstos na LGPD. Também há hipóteses de dispensa de consentimento em casos específicos.
  7. Lei Geral de Proteção de Dados (LGPD) – Guia de Boas Práticas para Implementação na Administração Pública Federal (2020), página 41.
  8. Previsto no art. 224 da Constituição Federal e instituído pela Lei 8.389, de 30 de dezembro de 1989.
Escrito por
Walmar Andrade
Walmar Andrade