O que é LGPD? Entenda a lei geral de proteção de dados pessoais

Captura de tela 2021 11 05 145737

O que é a LGPD? Acompanhe esse resumo com tudo o que você precisa saber sobre a Lei Geral de Proteção de Dados Pessoais, qual é a sua importância, quando entra em vigor, como funciona, quando e como as empresas devem se adequar.

Captura de tela 2021 11 05 145737

O que é LGPD? Para que foi criada?

A LGPD é uma lei criada para regulamentar o tratamento de dados pessoais das pessoas naturais.

Mas, afinal, o que isso quer dizer? Para entender o que é a LGPD e o que isso significa temos que ir por partes.

Os dados pessoais a que se refere a lei são todos e quaisquer dados que pertençam a uma pessoa natural, ou seja, uma pessoa física como você.

E para a LGPD, além de informações básicas como o nome, o endereço residencial, o telefone celular e o CPF (Cadastro de Pessoa Física), também são considerados dados pessoais aqueles relacionados à aparência física, hábitos de consumo e aspectos da personalidade.

 

Mas como alguém têm acesso a esses dados?

No mundo digital, quando você cria uma conta em algum site ou rede social, fornece endereço de e-mail, telefone, sexo e idade, por exemplo.

No mundo offline, você compartilha dados quando faz um cadastro em alguma loja, clínica dentária ou ao aderir a algum programa de fidelidade em uma farmácia.

Vencido o entendimento sobre os dados pessoais, para entender completamente o que é a LGPD, resta saber o que seria “tratar” esses dados.

 

O que é tratar um dado?

O termo tratamento se refere a qualquer operação realizada com dados pessoais. Isso inclui uma série de ações, como:

  • Coletar;
  • Produzir;
  • Classificar;
  • Utilizar;
  • Acessar;
  • Reproduzir;
  • Transmitir;
  • Distribuir;
  • Processar;
  • Arquivar;
  • Armazenar;
  • Eliminar;
  • Avaliar ou controlar a informação;
  • Modificar;
  • Comunicar;
  • Transferir;
  • Difundir ou extrair.

 

Ou seja, qualquer operação mesmo!

Mas para entender o que é a LGPD, é importante também entender como e para que esses dados são tratados.

Pessoas físicas e Jurídicas coletam e utilizam esses dados por diversos motivos.

Um dentista, por exemplo, precisa saber alguma condição médica ou alergia medicamentosa que o paciente tenha para que seja possível atender-lhe da melhor forma.

Uma empresa de revista física por assinatura, precisa do endereço residencial do assinante para o envio das edições, bem como precisa de informações de pagamento para cobrança.

Parece razoável que essas informações sejam coletadas e utilizadas, não é mesmo?

Agora, imagine uma situação diferente: um sujeito, portador de uma doença crônica que necessita de medicação contínua, fez um cadastro numa farmácia para participar de um plano de fidelidade.

Ao fornecer seus documentos no cadastro, suas compras mensais do medicamento são atreladas ao seu CPF.

 

O que ocorre se os dados pessoais armazenados pela farmácia forem fornecidos a uma empresa de plano de saúde?

Bom, caso a empresa faça um tratamento desses dados, pode traçar um perfil para o sujeito, o classificando como pertencente a algum grupo de risco.

Isso pode resultar na possível cobrança de um valor mais alto em um plano de saúde.

Acontece que o sujeito forneceu seus dados para a farmácia com o intuito de que fossem utilizados única e exclusivamente por ela para participar de um plano de fidelidade que o possibilitasse adquirir seu medicamente contínuo com um valor mais baixo.

No entanto, seus dados foram compartilhados, sem seu conhecimento e de uma forma que podem vir a prejudicar-lhe.

O uso desses dados, nesse caso, não parece ser adequado, não é mesmo?

Esse é o motivo pelo qual surge a LGPD!

Estamos cada vez mais perto de compreender o que é a LGPD.

Mas, por óbvio, é necessário saber: Como funciona a lei? O que ela diz?

A lei tem o objetivo de proteger os direitos relacionados às informações dos cidadãos.

Para isso, ela introduz regulamentos que garantem maior transparência no tratamento dos dados pessoais e confere protagonismo ao titular dos dados quanto ao seu uso.

 

E de que forma a LGPD regulamenta o tratamento dos dados pessoais?

Como veremos a seguir, ela define quando eles podem ser utilizados de forma legítima e cria mecanismos para proteger os titulares de usos impróprios de seus dados.

Mas, para entender o que é a LGPD e como e quando ela permite o tratamento de dados, é importante que você conheça dois sujeitos criados pela lei.

Estamos falando do controlador e do operador dos dados pessoais, dois sujeitos que possuem papéis muito importantes.

Ambos podem ser tanto pessoa natural (uma pessoa como você), quanto jurídica (uma empresa, por exemplo).

Além disso, ambos podem ser tanto de direito público (pertencendo ao Estado), quanto de direito privado (pertencendo a alguém).

 

Mas e no que eles se diferem? Nas suas competências!

Nos termos da lei, ao controlador competem as decisões referentes ao tratamento de dados pessoais.

Já o operador, é quem realiza o tratamento de dados pessoais em nome do controlador.

 

Ficou com dúvida? Pareceu se tratar da mesma coisa?

Calma, entender a diferença entre o controlador e o operador é mais fácil do que parece.

A verdade é que os nomes são bem intuitivos: o controlador é quem tem o controle, quem decide quanto ao tratamento dos dados pessoais. Já o operador é quem operacionaliza, quem realiza o tratamento dos dados, conforme as decisões do controlador.

Antes de seguirmos entendendo o que é a LGPD e como e quando ela permite o tratamento de dados, é importante que você entenda a diferença de mais dois conceitos criados pela lei.

 

Qual é a diferença entre DADOS PESSOAIS e DADOS PESSOAIS SENSÍVEIS?

A LGPD divide os dados em dois grupos: os dados pessoais e os dados pessoais sensíveis.

A diferença entre eles é que os dados pessoais estão ligados a aspectos menos íntimos, como o nome, endereço, CPF e RG.

E os dados pessoais sensíveis estão ligados diretamente aos aspectos mais íntimos da personalidade do sujeito, como a etnia, religião, inclinação política, condições de saúde, dados da vida sexual, etc.

Como veremos, por serem mais íntimos, referentes à personalidade do sujeito, os dados pessoais sensíveis foram contemplados com uma proteção ainda maior na LGPD.

 

Quando os dados podem ser utilizados legitimamente?

Agora sim, vamos entender a fundo o que é a LGPD sabendo como os dados podem ser utilizados.

Seguindo as motivações da LGPD, a regulamentação para o uso dos dados vai de acordo com a proteção das informações do cidadão, conferindo a ele um papel de protagonismo.

Por isso, um dos mais importantes requisitos para o uso de dados, sendo inclusive o primeiro a aparecer, é o consentimento do titular.

Conforme o art. 7º da LGPD, o tratamento dos dados pessoais só pode ser realizado:

  • Mediante o fornecimento de consentimento pelo titular;
  • Para o cumprimento de obrigação legal ou regulatória pelo controlador;
  • Para a execução de políticas públicas, pela administração pública;
  • Para a realização de estudos por órgão de pesquisa;
  • Para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
  • Para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
  • Para a proteção da vida ou da incolumidade física do titular ou de terceiro;
  • Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
  • Para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; e
  • Para a proteção do crédito.

 

Já o tratamento de dados pessoais sensíveis é mais rígido.

Ele só poderá ocorrer mediante consentimento do titular ou seu responsável legal, mas com uma ressalva maior.

Esse consentimento deve ser fornecido de forma específica e destacada, para finalidades específicas.

Não possuindo esse consentimento, só poderá ocorrer nas hipóteses em que for indispensável para o cumprimento de certas situações, todas previstas Art. 11, II, da LGPD.

Essas situações são, por exemplo:

  • Para cumprimento de obrigação legal ou regulatória pelo controlador;
  • Para a execução de políticas públicas pela administração pública;
  • Para a realização de estudos por órgão de pesquisa;
  • Etc.

 

Retornando ao exemplo de que tratamos antes:

Caso a farmácia quisesse fornecer os dados dos clientes para a empresa de plano de saúde, os titulares dos dados deveriam consentir de forma específica e destacada para esta finalidade.

Isso porque, por se tratar de uma condição de saúde, é um dado pessoal sensível.

Assim, sem o consentimento específico e destacado para essa finalidade, a farmácia só poderia compartilhar os dados se isso fosse indispensável para a realização de uma das situações específicas elencadas na lei.

 

E os dados de acesso público? São protegidos pela LGPD?

Entendendo o que é a LGPD e a sua finalidade de proteção aos dados pessoais, não é difícil imaginar que até mesmo os dados de acesso público seriam protegidos de alguma forma.

A LGPD também protege os dados de acesso público e aqueles tornados manifestamente públicos pelos titulares.

Conforme a lei, para tratar os dados pessoais de acesso público devem sempre ser considerados: a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização.

O que isso quer dizer?

Quer dizer que, mesmo que alguém coloque seus dados de livre e espontânea vontade em uma rede social pública, não quer dizer que esses dados podem ser utilizados livremente.

Para o uso, deve sempre ser observada a finalidade para a qual o usuário deu seu consentimento, além do princípio da boa-fé e do interesse público.

E, obviamente, para além dessas três diretrizes, devem ser preservados todos os demais direitos dos titulares de dados pessoais previstos na Lei.

 

E, aliás, quais são os direitos dos titulares dos dados pessoais?

Para entender o que é a LGPD, não poderíamos deixar de abordar quais são os direitos dos titulares.

Isso porque a Lei, seguindo o objetivo de protagonizar os titulares dos dados pessoais, estabeleceu um capítulo exclusivo para o tema.

Nesse capítulo são elencados os direitos com relação ao controle, uso, peticionamento e defesa dos interesses dos seus dados.

Dentre os direitos estabelecidos, estão a possibilidade de o titular obter informações do controlador dos dados por ele tratados, a qualquer momento e mediante requisição.

Outro direito garantido pela lei, é que o titular pode exercer a defesa dos interesses e dos seus direitos em juízo, tanto individualmente como coletivamente, com outros sujeitos.

Ou seja, se os dados de um grupo de pessoas forem vazados, é possível entrar com uma petição conjunta junto ao judiciário para buscar reparação e responsabilização.

Ademais, conforme o art. 9º da LGPD, o titular deve ter acesso facilitado às informações referentes ao tratamento dos seus dados.

Dentre essas informações, estão:

  • O acesso facilitado da identificação e contato do controlador;
  • A finalidade específica, duração e forma do tratamento de seus dados;
  • Seus direitos;
  • Informações de uso compartilhado dos dados pelo controlador e qual é a finalidade desse compartilhamento;
  • Bem como qual é a responsabilidade dos agentes que realizam o tratamento dos seus dados.

 

Quais são as punições?

Parte do processo de entender o que é a LGPD e qual será o seu impacto perante a sociedade, é conhecer as punições previstas por ela.

A LGPD prevê uma série de sanções que podem ser impostas em caso de cometimento de infrações às normas previstas na lei.

Todas as sanções estão previstas no art. 52 da LGPD, que são:

  • Advertência, com indicação de prazo para adoção de medidas corretivas;
  • Multa simples;
  • Multa diária;
  • Publicização da infração após devidamente apurada e confirmada a sua ocorrência;
  • Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
  • Eliminação dos dados pessoais a que se refere a infração;
  • Suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
  • Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
  • Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

 

Quanto às multas:

Quando falamos de sanção na LGPD, provavelmente a mais polêmica e com maior potencial de impacto econômico direto é a multa.

Nas discussões em torno das sanções previstas na LGPD, tem sido assiduamente trazidas as dúvidas em relação à aplicação das sanções de multa e quais serão seus os valores.

Para entender, importante saber que as multas estão divididas em duas modalidades: a simples e a diária.

A multa simples é um valor único que pode chegar a até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no seu último exercício, excluídos os tributos.

A multa diária não teve um valor especificado na lei, que provavelmente será determinado pelo órgão responsável para cada caso concreto.

No entanto, o que se sabe é que, tanto a multa simples quanto a multa diária possuem uma limitação total de R$ 50.000.000,00 (cinquenta milhões de reais) por infração.

Mas, calma! A aplicação de sanções só vai acontecer após uma análise criteriosa, com a oportunidade de ampla defesa e levando em conta diversos aspectos, de acordo com cada caso.

Além disso, serão levados em conta diversos critérios, como a gravidade e a natureza das infrações, os direitos pessoais afetados, a condição econômica do infrator, o grau do dano, etc.

 

Mas e quem irá fiscalizar e identificar as possíveis infrações?

Para entender o que é a LGPD, como funcionará a fiscalização e a identificação das possíveis infrações, é de extrema importância que se entenda o papel da ANPD.

ANPD é sigla para a Autoridade Nacional de Proteção de Dados e seu objetivo é assegurar o cumprimento da LGPD no Brasil.

Dessa forma, o órgão visa garantir a proteção aos direitos fundamentais de liberdade, privacidade e livre desenvolvimento da personalidade dos indivíduos.

Suas principais competências estão previstas no Art. 55-J da LGPD.

Dentre elas, destaca-se a fiscalização e a aplicação das sanções em caso de tratamento de dados realizado em descumprimento à legislação.

Por óbvio, suas funções sempre serão exercidas observando o contraditório, a ampla defesa e o direito de recurso, mediante processo administrativo.

Isso quer dizer que, caso seja apurada uma possível infração, ocorrerá um processo administrativo com todos os direitos de defesa garantidos à parte investigada.

 

Quem precisa se adequar?

Avançando no entendimento do que é a LGPD e sabendo que ela abarca diversas mudanças, surge a dúvida: quem precisa se adequar?

Segundo a lei, todas as pessoas físicas e jurídicas, públicas ou privadas, que realizam atividades de tratamento de dados pessoais, devem se adequar.

A lei já se encontra em vigor, à exceção dos Art. 52 a 54, que são os que preveem as sanções administrativas. Assim, neste momento, nenhuma sanção está sendo aplicada.

No entanto, a lei entra integralmente em vigor, com a possibilidade de aplicação das sanções, a partir do dia 1º de agosto de 2021.

Até esta data, todos os sujeitos que realizam atividades de tratamento de dados pessoais podem se adequar.

 

Mas como se adequar?

A LGPD estabelece diversas providências que devem ser implantadas pelos agentes de tratamento.

Dentre as providências estão:

  • Mapear o registro das operações de tratamento de dados pessoais realizados (identificando as bases legais e as finalidades);
  • Adotar medidas técnicas, administrativas, de processos e políticas internas para assegurar o cumprimento das normas de proteção de dados pessoais;
  • Estabelecer um canal de contato com os titulares de dados pessoais.

 

Deve ser indicado, também, um Encarregado para atuar como canal de comunicação entre os controladores, os titulares dos dados e a ANPD.

Esse encarregado deve ser indicado pelos controladores.

No entanto, em casos concretos e para determinadas situações, de acordo com o porte da entidade, sua natureza ou o volume de operações de tratamento de dados, a ANPD pode dispensar a necessidade da indicação do Encarregado (art. 41, § 3º).

Tendo em vista a grande mudança que a LGPD representa, a ANPD lançou um Guia Orientativo para Definição dos Agentes de Tratamento de Dados Pessoais e do Encarregado.

Nele é possível ficar a par de mais informações que podem auxiliar nessa adequação.

 

Para concluir

Os avanços tecnológicos das últimas décadas têm transformado o mundo empresarial. Cada vez mais, as empresas estão utilizando e armazenando os dados pessoais dos seus clientes e colaboradores.

No entanto, até o surgimento da LGPD, não havia nenhuma regulamentação nesse sentido, criando uma lacuna de possibilidades que poderiam ferir diversos direitos fundamentais dos cidadãos.

Assim, a aplicação de uma legislação que protege os dados pessoais, realiza uma função ímpar na medida em que mostra que o Direito está acompanhando as mudanças tecnológicas e sociais, garantindo a segurança jurídica e sendo um guardião dos direitos constitucionalmente garantidos no nosso país.