Aprovada em agosto de 2018, a Lei Geral de Proteção de Dados Pessoais – LGPD, lei nº 13.709, dispõe sobre o tratamento de dados pessoais, nos meios físicos e digitais, inclusive por pessoa jurídica de direito público, com a finalidade proteger o direito à liberdade, privacidade e livre desenvolvimento dos cidadãos.
A LGPD estabelece a padronização de normas e práticas para promover a proteção, de forma igualitária e dentro do país e no mundo, aos dados pessoais de todo cidadão que esteja no Brasil, dispondo sobre as regras para o uso, coleta, armazenamento e compartilhamento de dados dos usuários por empresas públicas e privadas.
As regras valem tanto para pessoas físicas quanto jurídicas (públicas e privadas), mas servem principalmente para que empresas e órgãos públicos sejam mais transparentes e responsáveis no manejo de dados alheios.
O que muda
A maior mudança, sem dúvida, trazida pela legislação diz respeito ao controle dos cidadãos em razão da garantia de acesso às informações sobre os seus dados. Outro ponto, é a necessidade de autorização expressa para que a coleta de dados ocorra.
Organizações públicas e privadas só poderão coletar dados pessoais se tiverem consentimento do titular. A solicitação deverá ser feita de maneira clara para que o cidadão saiba exatamente o que vai ser coletado, para quais fins e se haverá compartilhamento. Quando houver envolvimento de menores de idade, os dados somente poderão ser tratados com o consentimento dos pais ou responsáveis legais.
Se houver mudança de finalidade ou repasse de dados a terceiros, um novo consentimento deverá ser solicitado. O usuário poderá, sempre que desejar, revogar a sua autorização, bem como pedir acesso, exclusão, portabilidade, complementação ou correção dos dados.
A lei garante a todos a ampla informação sobre como empresas públicas e privadas tratam os nossos dados, ou seja, o modo e a finalidade da coleta, como esses dados ficam armazenados, por quanto tempo guardam e com quem compartilham.
Por parte das empresas, o trabalho será garantir a transparência e o direito de acesso a essas informações. Tudo de forma clara, inteligível e simples. A nova lei atinge toda e qualquer atividade que envolva utilização de dados pessoais, incluindo o tratamento pela internet, consumidores, empregados, entre outros.
Há uma categoria classificada como “dados sensíveis”. Ela diz respeito a informações como crenças religiosas, posicionamentos políticos, características físicas, condições de saúde e vida sexual. O uso desses dados será mais restritivo. Nenhuma organização poderá fazer uso deles para fins discriminatórios. Também é necessário garantir que eles serão devidamente protegidos. Vazamentos ou problemas de segurança que venham a comprometer os dados pessoais deverão ser relatados às autoridades competentes em tempo hábil.
Há exceções. As regras não valem para dados pessoais tratados para fins acadêmicos, artísticos ou jornalísticos, bem como para aqueles que envolvem segurança pública, defesa nacional, proteção da vida e políticas governamentais. Esses casos deverão ser tratados por leis específicas.
A lei prevê, ainda, que a Autoridade Nacional de Proteção de Dados (ANPD), autarquia ligada ao Ministério da Justiça, terá o poder de fiscalizar e garantir a aplicação da lei. Também está prevista a criação do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, que será formado por 23 representantes do poder público e da sociedade civil. Caberá ao grupo realizar estudos, debates e campanhas referentes ao assunto.
A importância de conhecer a LGPD
Nos dias atuais, a tecnologia desempenha um papel central nas nossas interações sociais. A rede social que sugere uma amizade, o site que apresenta uma oportunidade de trabalho e o aplicativo que aponta o melhor caminho para casa, todos eles têm em comum o mesmo combustível: os nossos dados pessoais.
Com o crescimento exponencial da utilização de dados pessoais tanto pelo setor privado como pelos órgãos públicos, surgiram no mundo várias legislações visando à tutela da proteção de dados pessoais.
O Brasil possuía uma série de normas setoriais sobre o assunto, com dispositivos que podem ser aplicados à proteção de dados espalhados pela Constituição Federal, Código de Defesa do Consumidor, Código Civil, Lei de Acesso à Informação, Lei do Cadastro Positivo e Marco Civil da Internet.
Esse cenário, entretanto, sofreu alteração em 14 de agosto de 2018, com a sanção da Lei n. 13.709/2018, conhecida como Lei Geral de Proteção de Dados Pessoais – LGPD, que dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Além de ser a primeira lei geral nacional sobre o tema, a importância da LGPD está na apresentação de regras para o tratamento de dados pessoais. Essas regras vão desde os princípios que disciplinam a proteção de dados pessoais, passando pelas bases legais aptas para justificar o tratamento de dados, até a fiscalização e a responsabilização dos envolvidos no tratamento de dados pessoais.
A LGPD também prevê a possibilidade de a pessoa natural a quem se referem os dados pessoais requerer informações como a confirmação da existência de tratamento dos seus dados pessoais, o acesso aos dados, a correção de dados incompletos, a eliminação de dados desnecessários e a portabilidade de dados pessoais a outro fornecedor de produtos e serviços.
Em resumo, a LGPD inaugura uma nova cultura de privacidade e proteção de dados no país, o que demanda a conscientização de toda a sociedade acerca da importância dos dados pessoais e os seus reflexos em direitos fundamentais como a liberdade, a privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Titular de dados pessoais é a pessoa natural a quem se referem os dados pessoais que são objeto de tratamento (art. 5º, V, da LGPD).
O titular de dados pessoais possui vários direitos, que estão enumerados no artigo 18 da LGPD e descritos a seguir:
O tratamento de dados é qualquer atividade relacionada a dados pessoais, como coleta, armazenamento, uso e classificação. Por lei, o titular dos dados tem o direito de confirmar se uma empresa realiza o tratamento de seus dados pessoais.
A LGPD estabelece ainda que a resposta pode ser feita de forma imediata e de maneira simplificada, ou por meio de declaração “clara e completa”, que indique a origem dos dados, os critérios usados e a finalidade do tratamento. O prazo para a resposta no formato completo é de até 15 dias contado a partir da data do requerimento.
Além de saber se a empresa trata seus dados pessoais, o titular também pode pedir acesso aos dados. Ou seja, é possível obter uma cópia dos dados pessoais que a empresa possui em seus arquivos.
Da mesma forma que a confirmação de tratamento, o acesso também pode ser respondido de forma imediata e simplificada ou por meio de declaração completa no prazo de até 15 dias contado da data do requerimento.
Outro direito do titular de dados é solicitar à empresa a correção de dados pessoais incompletos, inexatos ou desatualizados.
É o caso, por exemplo, de uma atualização de endereço, número de telefone ou estado civil.
Caso queira, o titular de dados também tem o direito de solicitar a anonimização (processo que torna um dado impossível de ser vinculado a um indivíduo), bloqueio ou eliminação de dados quando eles forem “desnecessários, excessivos ou tratados em desconformidade” com a lei.
Por exemplo, se a empresa trata dados que não são necessários para alcançar a finalidade do tratamento ou se o tratamento não é enquadrado em nenhuma das bases legais previstas na lei.
A LGPD prevê ainda que o titular de dados pode solicitar a portabilidade dos dados, ou seja, a transferência das suas informações pessoais a outro fornecedor de serviço ou produto.
Neste caso, é preciso uma requisição expressa, seguindo uma regulamentação que deverá ser feita pela ANPD (Autoridade Nacional de Proteção de Dados), que ainda não está em operação. Além disso, a portabilidade não inclui dados que já tenham sido anonimizados pelo controlador –dados anonimizados, aliás, ficam de fora do escopo da LPGD
Se o titular dos dados consentiu com o tratamento, mas mudou de ideia e não quer mais que a empresa trate seus dados pessoais, ele pode solicitar a eliminação desses dados.
No entanto, há situações em que esse direito não pode ser exercido, como quando a empresa precisa conservar os dados para cumprir obrigação legal ou regulatória.
A LGPD preza, neste e em outros pontos da lei, pela transparência. Desta forma, é direito do titular saber exatamente com quem o controlador está compartilhando seus dados.
Isso inclui entidades públicas e privadas, que devem ser expressamente nomeadas, e não mencionadas apenas de forma genérica.
A premissa do consentimento é que ele seja pedido e concedido de forma clara, transparente e totalmente livre. Para isso, o titular de dados tem o direito de ser informado sobre a possibilidade de não fornecer o consentimento e de quais as consequências caso o consentimento seja negado.
É o caso, por exemplo, de um usuário que é convidado a consentir ou não com o uso de cookies em um site. Se o não consentimento for prejudicar a experiência de navegação ou impedir o acesso a algumas ferramentas, o usuário deve ser informado disso.
Por fim, qualquer consentimento dado para o tratamento de dados pessoais pode ser revogado. Este é um direito do titular de dados, que pode fazer uma solicitação revogando o consentimento.
No entanto, vale lembrar que para que os dados tratados até então sejam de fato eliminados é preciso fazer uma requisição específica, conforme mencionamos no item 6.
É importante ressaltar, no entanto, que nenhum direito é absoluto e que há situações em que as empresas podem não conseguir atender aos requerimentos do titular, devendo indicar os motivos -como, por exemplo, o cumprimento de obrigações legais ou regulatórias.
O Comitê Gestor de Proteção de Dados Pessoais – CGPDP é responsável pela avaliação dos mecanismos de tratamento, proteção dos dados existentes e pela proposição de ações voltadas a seu aperfeiçoamento, com vista ao cumprimento das disposições da Lei n° 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de dados).
Daniela O. Dornelles, e-mail: lgpd@nexenmed.com.br