LEI GERAL DE PROTEÇÃO DE DADOS

A LEI GERAL DE PROTEÇÃO DE DADOS – Lei 13.853, de 08 de julho de 2019, foi criada para regular a atividade de tratamento de dados pessoais, vindo a alterar os artigos 7º e 16 do Marco Civil da Internet – Lei 12.965/14.

Até a criação LEI GERAL DE PROTEÇÃO DE DADOS, no Brasil, somente existia para regulamentar essas atividades a Lei 12.965/14, chamado Marco Civil da Internet, como única lei infraconstitucional, também batizada de Lei Carolina Dieckmann, que estabelece dispositivos tipificando delitos e crimes de informática na esteira da repercussão do vazamento de arquivos pessoais que sofreu a atriz.

A Lei 12.965/14 no seu art. 1º resume seu teor nos seguintes termos:

“Art. 1º Esta Lei estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil e determina as diretrizes para atuação da União, dos Estados, do Distrito Federal e dos Municípios em relação à matéria.”

A LGPD veio alterar o Marco Civil da Internet no seu artigo 7º e o art. 16 que assim dispunham:

“Art. 7o O acesso à internet é essencial ao exercício da cidadania, e ao usuário são assegurados os seguintes direitos:

I - inviolabilidade da intimidade e da vida privada, sua proteção e indenização pelo dano material ou moral decorrente de sua violação;
II - inviolabilidade e sigilo do fluxo de suas comunicações pela internet, salvo por ordem judicial, na forma da lei;
III - inviolabilidade e sigilo de suas comunicações privadas armazenadas, salvo por ordem judicial;
IV - não suspensão da conexão à internet, salvo por débito diretamente decorrente de sua utilização;
V - manutenção da qualidade contratada da conexão à internet;
VI - informações claras e completas constantes dos contratos de prestação de serviços, com detalhamento sobre o regime de proteção aos registros de conexão e aos registros de acesso a aplicações de internet, bem como sobre práticas de gerenciamento da rede que possam afetar sua qualidade;
VII - não fornecimento a terceiros de seus dados pessoais, inclusive registros de conexão, e de acesso a aplicações de internet, salvo mediante consentimento livre, expresso e informado ou nas hipóteses previstas em lei;
VIII - informações claras e completas sobre coleta, uso, armazenamento, tratamento e proteção de seus dados pessoais, que somente poderão ser utilizados para finalidades que:
a) justifiquem sua coleta;
b) não sejam vedadas pela legislação; e
c) estejam especificadas nos contratos de prestação de serviços ou em termos de uso de aplicações de internet;
IX - consentimento expresso sobre coleta, uso, armazenamento e tratamento de dados pessoais, que deverá ocorrer de forma destacada das demais cláusulas contratuais;
X - exclusão definitiva dos dados pessoais que tiver fornecido a determinada aplicação de internet, a seu requerimento, ao término da relação entre as partes, ressalvadas as hipóteses de guarda obrigatória de registros previstas nesta Lei;
XI - publicidade e clareza de eventuais políticas de uso dos provedores de conexão à internet e de aplicações de internet;
XII - acessibilidade, consideradas as características físico-motoras, perceptivas, sensoriais, intelectuais e mentais do usuário, nos termos da lei; e
XIII - aplicação das normas de proteção e defesa do consumidor nas relações de consumo realizadas na internet.”

“Art. 16. Na provisão de aplicações de internet, onerosa ou gratuita, é vedada a guarda:

I – dos registros de acesso a outras aplicações de internet sem que o titular dos dados tenha consentido previamente, respeitado o disposto no art. 7º ; ou
II – de dados pessoais que sejam excessivos em relação à finalidade para a qual foi dado consentimento pelo seu titular.”

A LGPD tem o objetivo de garantir que os cidadãos detenham o controle de seus dados pessoais e tenham ciência dos motivos pelos quais os seus dados são coletados e tenham direito a decidir se querem ou não que outras pessoas jurídicas ou físicas tenham acesso a eles.

Diante da matéria bem peculiar da qual trata a LGPD se faz necessário esclarecer alguns conceitos que ela envolve.

Primeiro conceito importante a ser destacado é o que significa Dado Pessoal.

Dado Pessoal é toda informação identificada ou identificável de uma pessoa física.

Dentre as informações identificáveis podem ser destacadas números de CPF (Cadastro de Pessoa Física), nº do RG (Registro Geral ou Carteira de Identidade), telefone, endereço de e-mail, globolocalização, Ip do computador, dados de cartão de crédito e conta bancária...

Assim a LGPD tem por objetivo a proteção desses dados e estabelece o grau e responsabilidade daquele que realizam o tratamento desses dados e de seu titular, importando entender como tratamento de dados toda operação realizada com dados pessoais previsto no artigo 5º, X da LGPD, a exemplo: Armazenar, coletar, utilizar, acessar, reproduzir, transmitir, distribuir, processar.

A LGPD impõe em regra a necessidade de concessão de consentimento do titular dos dados para aquele que for realizar o tratamento desses dados, e imposição de sigilo e resguardo dos direitos constitucionais do seu titular.

Quando o titular dos dados for deficiente mental, criança ou adolescente esse consentimento terá que ser dado pelo seu representante legal.

Assim a transmissão, publicação, transferência e informação desses dados somente poderá ocorrer mediante consentimento do titular ou representante dele.

Qualquer irregularidade no tratamento dedados pessoais, que resulte em prejuízo ao seu titular, dano moral, violação da dignidade e privacidade, autorizará a revogação do consentimento, o ingresso com ação judicial cível e/ou criminal contra o agente de tratamento, controlador, operador e encarregado, que responderão pelos prejuízos causados tanto no âmbito material como moral do titular.

O sigilo dos dados pessoais apresenta exceção quando esses dados forem de interesse para investigação criminal, ou servirem para apuração de fatos relevantes e históricos.

No caso de o titular dos dados estar se candidatando a vaga de emprego, a empresa para a qual está se colocando à disposição para essa vaga, fica autorizada a realizar o tratamento de dados visando a apuração das condições para contratação, quando não será considerado invasão de privacidade.

Da mesma forma a autoridade policial na condução de investigação criminar poderá se valer do tratamento de dados, estando vedada a divulgação da intimidade e privacidade do investigado, ficando permitido até levantamento fotográfico necessário a informações estatísticas criminais.

A LGPD vem em consonância com a Constituição Federal, que no seu art. 5º protege a intimidade, a vida privada, a honra, a imagem das pessoas, lhes assegurando o direito a indenização por danos morais e materiais decorrentes da violação desses direitos.

Sendo assim, no parágrafo único do artigo 1º a LGPD impõe ao Estado e seus entes (UNIÃO, ESTADOS, MUNICÍPIOS, DISTRITO FEDERAL e TERRITÓRIOS) o reconhecimento de interesse nacional aos seus dispositivos.

Atendendo a seu objetivo a LGPD dispõe no seu artigo 2º como fundamentos da proteção de dados o respeito à privacidade; à autodeterminação informativa; à liberdade de expressão, de informação, de comunicação e de opinião; inviolabilidade da intimidade, da honra, e da imagem; o desenvolvimento econômico, tecnológico e a inovação; a livre iniciativa, a livre concorrência e a defesa do consumido; e os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

Para tanto a aplicação da LGPD se aplica a qualquer operação de tratamento de dados pessoais, realizada por pessoa física ou jurídica de direito público ou privado, independente do meio, do país de sua sede, ou do pais onde estejam localizados os dados, desde que sejam relativos a dados pessoais coletados no Brasil, ou em qualquer outra operação de tratamento de que seja realizado em nosso país, ou fora do país mas tenha como objetivo a oferta e/ou o fornecimento de bens e serviço, ou tratamento de dados de indivíduos localizados no território nacional.

A LGPD em seu art. 5º traz uma série de conceitos que precisou estabelecer tendo em vista que a matéria de tratamento de dados ainda não possui literatura jurídica suficiente, dentre tais conceito no Inciso II elenca importante conceito a ser entendido, qual seja dado sensível, que engloba os relativos à origem, raça, religião, etnia, opção política, filiação a órgãos sindicais, religiosos, filosóficos e políticos, saúde e vida sexual, genético ou biométrico, denotando a preocupação com informações que podem suscitar a imposição de discriminação, risco a vulnerabilidades, e danos gravosos a direitos e liberdades fundamentais que envolvem tais dados.

Assim os dados sensíveis requerem uma maior proteção e cuidado de parte dos seus controladores e operadores.

Em suma a Lei Geral de Proteção de Dados tem como fim a preservação da segurança jurídica, a intimidade, privacidade, bem estar social e regula atividades de tratamento de dados pessoais.
Por conseguinte, visando garantir o cumprimento dos dispositivos da LGPD o legislador cria a Autoridade Nacional de Proteção de Dados (ANPD) e o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade.

A ANPD é órgão que atua junto ao Presidente da República, tem por finalidade coordenar, cooperar, manter eficaz e fiscalizar os procedimentos de tratamento de dados pessoais do titular, e é competente para aplicar punição de aplicação pagamento de multa aos infratores a LGPD, sendo responsável por suprir lacunas da legislação e, também, por aplicar a política pública de proteção de dados no Brasil.

Em decorrência do regramento da LGPD se fará necessário que todo aquele que realizar tratamento de dados faça uma adequação de suas práticas às normas estabelecidas por essa nova normativa, para evitar possíveis punições de parte da Autoridade Nacional de Proteção de Dados e/ou ações judiciais cíveis e criminais por parte dos titulares dos dados que dispõe em suas atividades.

Em muitos casos se fará necessário contar com o auxílio de assessoria jurídica, para uma atuação segura por parte dos entes que realizem controle, tratamento, transmissão, publicação, transferência e informação de dados, para que lhe oriente quanto aos limites de suas atuações visando o cumprimento dos ditames da LGPD.

Dependendo do porte da empresa e do número de dados que lide em suas atividades, poderá ser necessária a criação de um programa de proteção de dados, e a orientação de como implantá-lo, visando uma maior segurança jurídica para a entidade que se encarrega do tratamento desses dados e para seus usuários, e por fim uma maior credibilidade no mercado por parte dos seus consumidores.

Para dar cumprimento à LGPD os tratadores de dado terão que estabelecer atribuições bem precisas em seu organograma de trabalho, visando a eliminação de confusões relativas à responsabilidade quanto a possíveis danos causados aos titulares dos dados tratados.

A LGPD estabeleceu, no seu art. 5º, três relevantes personagens no tratamento de dados: o controlador, o operador e o encarregado.

Nos termos da LGPD:

*Ao controlador, pessoa natural ou jurídica, de direito público ou privado, competem as decisões sobre o tratamento de dados pessoais, ou seja, ele que tem o poder de defi­nir como o tratamento será feito, de que forma e de que jeito. Em virtude disso, é o responsável pelo enquadramento das bases legais, deve indicar o encarregado, possui o ônus de provar o consentimento do titular e também será sancionado administrativamente em razão de infrações cometidas. Quem é quem na LGPD;

* O operador, por sua vez, é quem realiza o tratamento de dados em nome do controlador. Salienta-se que o operador pode ser tanto pessoa natural quanto jurídica, porém não possui autonomia sobre a tomada de decisão no tratamento de dados. O operador também deve manter registro das operações de tratamento que realiza, na mesma linha do controlador. Além disso, é responsabilizado civilmente em razão do exercício da sua atividade de tratamento de dados pessoais, caso haja violação à LGPD.

Estes dois agentes de tratamento, controlador e operador, possuem uma íntima ligação, pois respondem solidariamente pelos danos causados pelo tratamento de dados. No caso, o operador será responsabilizado quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que será igualado ao controlador. Diante desta íntima relação entre controlador e operador é indispensável que haja um contrato bem claro entre eles, limitando as responsabilidades de cada um para evitar qualquer problema futuro no andamento das atividades. Exemplos de operadores seriam empresas de armazenamento em nuvem e empresas que o controlador compartilha os dados para a realização do tratamento de dados pessoais.

O encarregado, o DPO (Data protection O­cer), segundo o artigo 5º, VIII da LGPD, ele é a pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador, titulares de dados e ANPD. De acordo com a LGPD o DPO pode ser tanto uma pessoa física quanto uma pessoa jurídica, abrindo a possibilidade de que os advogados prestem o serviço de DPO de forma terceirizada, ou seja, mais uma grande oportunidade para nós!

Hoje a legislação não diferencia quem deve e quem não deve ter uma DPO, sendo exigida esta indicação de toda e qualquer empresa, independentemente de seu tamanho, porém espera-se que a Autoridade Nacional de Proteção de Dados venha para esclarecer esta situação e colocar um ponto de corte. O fato é que toda empresa que realize um tratamento de dado signifi­cativo terá a necessidade de ter um DPO e com isso muitas oportunidades se abrem. O que se imagina é que as empresas de médio e pequeno porte busquem o serviço de DPO terceirizado, enquanto as empresas de grande porte tenham um funcionário destinado para esta atividade. Isso acontece justamente pelas atribuições do DPO e pelo grau de exigência que ele terá em grandes corporações, sendo praticamente impossível a sua terceirização.

Assim toda a qualquer pessoa física ou jurídica que lide com dados pessoais de outrem tem que se adequar e submeter as regras da Lei Geral de Proteção de Dados.