LGPD - Introdução
LGPD - Você já deveria saber que lei é essa!
Vivemos em uma sociedade em que a informação é cada vez mais útil e valorizada. Os meios de coletar todos os tipos de informações estão se multiplicando ao nosso redor sem que percebamos. .
Acessar um site, postar nas redes sociais, escolher um filme no Netflix ou definir um caminho no Waze são exemplos de situações em que compartilhamos nossas informações pessoais, ou dados pessoais, como são chamados por lei.
Como Renato Opice Blum e Viviane Nóbrega Maldonado bem conceituaram na obra LGPD - Lei Geral de Proteção de Dados [i], a informação que antes era um insumo básico, tornou-se uma commodity de grande valor comercial. Coletar e negociar essas informações é o grande lance do início do século, quando empresas milionárias surgem com um clique do mouse.
No meu artigo anterior (https://monitordigital.com.br/inteligencia-artificial-ea-advocacia-brasileira-parte-1-2 and https://monitordigital.com.br/inteligencia-artificial-ea-advocacia-brasileira -part-2-2), falei um pouco sobre inteligência artificial, Big Data, a revolução que já começou e que afetará drasticamente nossa vida pessoal e profissional em um futuro próximo.
Pois é, a base de toda essa transformação é justamente a informação e principalmente a sua, a minha, a nossa informação.
Até agora pouco nos preocupamos com as informações que disponibilizamos. A maior parte das pessoas se preocupa apenas com a senha do banco ou do e-mail, mas não percebeu ainda que todos os dias compartilha com várias empresas diversos outros dados importantíssimos, como, por exemplo, sua impressão digital.
Quando você entrega, na portaria do prédio do médico que visita eventualmente, sua impressão digital, você está compartilhando a mesma impressão digital que é utilizada para acessar sua conta bancária em um caixa eletrônico ou ainda, para destravar a porta de casa ou do escritório que já utilize uma fechadura eletrônica.
Essa impressão digital, por sua vez, está agora em um banco de dados que a vincula ao seu cadastro na portaria do prédio, onde também lhe pediram uma foto e um documento de identidade, ou seja, em um simples ingresso em um edifício "pessoas" (várias e indetermináveis) já sabem seu nome, RG, CPF, têm sua foto e ainda sua impressão digital!
Nesse momento você, como qualquer pessoa, deve ter percebido como estamos vulneráveis nesse mundo conectado. Acredito que já se sinta um pouco mais inseguro do que momentos antes de ler esse artigo e bem mais inseguro do que se tivesse entregue apenas a senha do banco, não é?
Pois é. Esse breve exemplo serviu para dar uma ideia de como somos ignorantes nessa área, de como nossos dados são coletados e o grau de exposição a que estamos submetidos sem qualquer proteção legal.
Nesse cenário é que surge a Lei Geral de Proteção de Dados, Lei 13.709/18, cujo objetivo principal é a proteção dos dados pessoais. Promulgada em 14/8/2018, está em período de vacatio legis e começará a produzir efeitos em setembro de 2020, já considerando os problemas da MP959, que são objeto de outro artigo (você o encontra na nossa página principal com o título de "Afinal a LGPD está valendo?".
Dados Pessoais, como a própria lei conceitua no art.5º, I, é "Informação relacionada a pessoa natural identificada ou identificável".
Aqui já é possível perceber algumas delimitações da abrangência da LGPD. Ela se refere à pessoa natural, ou seja, dados de pessoas jurídicas não são o objeto da proteção.
Há ainda uma categoria de dados com tratamento especial, denominados pela lei por Dados Pessoais Sensíveis, que são aqueles listados no art.5º, II, dentre eles etnia, religião, opinião política, dados de saúde, biométrico, etc, sobre os quais tratarei nos próximos artigos.
A LGPD é, portanto, uma lei elaborada com o objetivo de proteger os dados pessoais de pessoas naturais e, para tanto, traz uma série de regras que devem ser cumpridas pelas empresas ou mesmo pessoas naturais que realizem TRATAMENTO DE DADOS.
A lei conceitua o tratamento de dados no mesmo art.5º, no inciso X e lá relaciona uma série de condutas, dentre elas: coleta, produção, recepção, classificação, transmissão, armazenamento, modificação, transferência, difusão, extração etc.
Qualquer empresa que trate dados, seja de seus clientes ou mesmo de funcionários, deverá atender aos requisitos da lei. Isso importa em mudanças complexas em procedimentos que envolvem diversas áreas de sua estrutura, em especial marketing, RH, compliance, TI e o jurídico.
Mais uma vez a regra é o "tone of the top", ou em português, "o exemplo vem de cima". Digo mais uma vez, porque este já é um dos pilares para efetividade dos programas de compliance, e que aqui também precisa ser utilizado.
A tutela de direitos como liberdade e privacidade dos titulares dos dados pessoais, ou seja, todos nós, tem que ser uma preocupação daqueles que comandam a empresa e deve ser transmitida para todos que dela participam, deve-se desenvolver essa consciência como uma nova cultura. Nova cultura porque o conceito do que é e a importância da informação ainda precisam ser transmitidos para a maioria de nós.
Como eu já disse antes, poucos conhecemos a importância dos nossos dados pessoais, menos ainda conhecem os meios pelos quais eles são coletados e pior, quase ninguém sabe como são utilizados/tratados (tenho dúvidas se alguém realmente sabe). Daí a importância do comprometimento de toda a equipe, de todas as áreas da empresa, que em conjunto precisam estar atentas a possíveis não conformidades.
A lei define que controlador é a pessoa natural ou jurídica a quem compete decidir sobre o tratamento de dados (art.5ª, VI), operador é quem trata os dados por ordem e em nome do controlador (art.5º, VII) e denomina esses dois como agentes de tratamento (art.5º, IX).
Os agentes de tratamento portanto são aqueles que coletarão, armazenarão e utilizarão nossos dados pessoais. São, portanto, os responsáveis por cumprir as determinações da LGPD e garantir a privacidade, liberdade e o livre desenvolvimento da personalidade da pessoa natural.
Esses agentes de tratamento são solidariamente responsáveis por quaisquer danos decorrentes do tratamento de dados (art.42, §1º) e o mesmo artigo da lei prevê que há a possibilidade de inversão do ônus da prova pelo juiz.
A lei estabelece os direitos ARCO - Acesso, Retificação, Cancelamento e Objeção de tratamento. A lista constante do artigo 18 define situações e comportamentos que podem ser exigidos dos agentes de tratamento, ou seja, qualquer pessoa cujos dados pessoais tenha sido coletado por uma empresa pode exigir: a confirmação da existência do tratamento, o acesso e correção dos dados, portabilidade, eliminação, informação de para quem e com que finalidade são compartilhados etc.
Caso não atendido, o titular dos dados pode ajuizar ações individuais ou coletivas e as sanções vão desde o bloqueio do tratamento de dados até o pagamento de multa de 2% sobre o faturamento (art.52).
Há ainda a possibilidade de responsabilização penal, eis que a lei dispõe no art.52, §2º que as sanções nele previstas não substituem a aplicação de sanções administrativas, civis ou penais definidas na Lei nº 8.078, de 11 de setembro de 1990, e em legislação específica.
Vê-se que o condomínio do nosso exemplo do início do texto terá que ter uma série de cuidados antes de pedir qualquer tipo de dado pessoal de seus visitantes. Aqui cabe uma reflexão inicial importante: será que o porte do controlador pode influenciar no nível de observância das conformidades da lei? Será razoável exigir de uma pequena empresa ou mesmo um profissional liberal que atenda a todos os seus requisitos?
Nos próximos artigos falarei sobre esses requisitos, principalmente a exigência da existência de um encarregado (art.5º, VIII), que é aquela pessoa que deve ser o canal de comunicação entre o controlador, os titulares dos dados e a ANPD (Autoridade Nacional de Proteção de Dados).
Falarei também sobre a GDPR - General Data Protection Regulation, aplicada na União Europeia e que foi a base para a criação da LGPD. E destacarei alguns dos pontos mais controversos que teremos que enfrentar já em setembro de 2020.
[i] OPICE BLUM, Renato et al. LGPD - General Data Protection Law. Revista dos Tribunais, 2019.