LGPD: o que é, principais determinações e resumo

Em um mundo cada vez mais digitalizado, é importante que todo mundo conheça a LGDP.

Mais do que isso, é preciso entender quais são seus direitos em relação ao uso que é feito de seus dados pessoais.

E tão importante quanto o cidadão se informar sobre o assunto é as empresas terem conhecimento do que diz a lei e gerir os dados dos clientes com responsabilidade.

Se você quer saber o que diz a Lei de Proteção de Dados Pessoais e entender como ela impacta na sua vida e nas atividades da sua empresa, está no lugar certo.

Neste artigo, falaremos sobre os seguintes tópicos:

• O que é LGPD ou Lei Geral de Proteção de Dados?
• Como surgiu a Lei LGDP?
  • O que foi o caso Caso Cambridge Analytica?
• Qual a importância da LGPD?
• Quais as principais determinações da Lei Geral de Proteção de Dados?
• O que são dados sensíveis LGPD?
• Quando entra em vigor a Lei Geral de Proteção de Dados?
• Quais são os direitos do titular dos dados pessoais?
• O que acontece com quem descumprir a LGPD?
• Como as empresas devem se preparar para a LGPD?

Boa leitura!

O que é LGPD ou Lei Geral de Proteção de Dados?

LGPD é a Lei Geral de Proteção de Dados, uma lei aprovada em agosto de 2018 no Brasil que impôs regras sobre o tratamento de dados pessoais e que tem como finalidade proteger o direito à liberdade, privacidade e livre desenvolvimento dos cidadãos.

A lei não diz respeito apenas às informações mantidas em sistemas online, mas sua criação foi motivada pela complexidade que o tema gestão de dados ganhou na economia digital.

Afinal, estamos na Era da Informação, um período marcado pela hiperconexão e coleta contínua de uma quantidade imensa de dados (o que chamamos de big data).

Entre esses dados estão os dados pessoais, que, segundo a LGPD, são quaisquer informações relacionadas à pessoa natural identificada ou identificável.

As regras da LGPD valem tanto para pessoas físicas quanto jurídicas (públicas e privadas), mas ela serve principalmente para que empresas e órgãos públicos sejam mais transparentes e responsáveis no manejo de dados alheios.

A LGPD está publicada sob o número 13.709, e você pode conferir o texto completo nesta página. Ou, então, seguir a leitura e conferir um resumo / explicação de suas principais disposições.

Como surgiu a Lei LGDP?

Já se falava na necessidade de uma lei de proteção de dados no Brasil bem antes da criação da LGPD.

A discussão tomou corpo em 2010, quando o Ministério da Justiça lançou uma consulta pública sobre o tema.

Nos anos seguintes, alguns parlamentares apresentaram projetos de lei dispondo sobre o tema.

Uma das inspirações era o GDPR, Regulamento Geral sobre a Proteção de Dados, vigente em países da União Europeia e Espaço Econômico Europeu, que foi assinado em janeiro de 2016 e substituiu a Diretiva de Proteção de Dados, criada em 1995.

Voltando ao Congresso Brasileiro, o Projeto de Lei da Câmara N° 53/2018 aglutinou as propostas que haviam surgido até então.

O texto avançou até a aprovação, transformando-se na Lei Nº 13.709/2018.

Ao aprovar o projeto, o então presidente, Michel Temer, vetou alguns dispositivos – como o que criava a Autoridade Nacional de Proteção de Dados (ANPD).

Depois, porém, editou a Medida Provisória (MP) Nº 869/2018, instituindo a ANPD, mas com regras diferentes daquelas que a proposta original continha.

A MP foi convertida na Lei Nº 13.853/2019, que acrescentou vários artigos à LGPD.

O que foi o caso Caso Cambridge Analytica?

Como acabamos de explicar, já se falava na necessidade de criar uma lei de proteção de dados há vários anos.

Mas o escândalo de Cambridge Analytica acelerou o processo.

Cambridge Analytica foi uma empresa pertencente ao SCL Group (grupo britânico de consultoria e pesquisas diversas), que atuava na área de pesquisa e análise de dados para o processo eleitoral.

A empresa foi contratada para as campanhas do Brexit (movimento favorável à saída do Reino Unido da União Europeia) e do então candidato e hoje presidente americano Donald Trump.

O que a Cambridge Analytica fez de errado foi coletar dados de milhares de usuários do Facebook sob falsos pretextos.

A empresa lançou um aplicativo com um teste psicológico, alegando que os dados coletados seriam utilizados para fins acadêmicos.

Para participar, os usuários faziam o login pela rede social.

Desse modo, a Cambridge Analytica obtinha os dados pessoais dessas pessoas, além das respostas do teste e dos dados dos amigos de quem respondeu o quiz.

O que acontece é que a ação tinha outra finalidade: os dados foram usados para produzir materiais pró-Trump e Brexit direcionados e personalizados, de acordo com as informações obtidas.

O episódio configurou uma grave violação das políticas do Facebook e uma ação inegavelmente antiética.

Após a celeuma, tanto a Cambridge Analytica quanto o grupo SCL deixaram de existir.

Os debates sobre a criação de uma lei de proteção de dados no Brasil já existiam antes de os escândalos virem à tona, no início de 2018, mas o episódio acabou tornando a tramitação do projeto mais rápida.

Qual a importância da LGPD?

Um dos fatores que tornam a internet tão fascinante é seu caráter altamente democrático.

Depois da popularização dos computadores, da banda larga e dos smartphones, todo mundo pôde encontrar seu espaço no meio virtual.

Ao mesmo tempo, não é bom que a internet seja uma “terra de ninguém”.

Sem regras, os internautas estariam sujeitos a violações da privacidade, da intimidade, da livre iniciativa e livre desenvolvimento da personalidade, entre outras consequências.

Como você se sentiria se descobrisse que foi enganado por uma grande empresa e acabou colaborando sem querer para uma campanha eleitoral, como no caso da Cambridge Analytica?

Antes de serem internautas, as pessoas que utilizam a internet são cidadãos, com direitos que devem ser assegurados tanto no mundo offline quanto nos ambientes virtuais.

Nesse contexto, a criação da LGPD é importante para dar mais clareza ao assunto, para que a determinação do que pode e o que não pode no tratamento de dados pessoais não seja subjetiva, questão de intuição ou opinião.

Assim, além dos usuários terem mais confiança em relação aos sistemas que coletam seus dados, as empresas podem ajustar seus processos com maior segurança jurídica, sem o risco de cometer ilegalidades sem saber.

Quais as principais determinações da Lei Geral de Proteção de Dados?

A LGPD dispõe sobre o tratamento de dados pessoais e dados pessoais sensíveis.

Como o significado disso pode suscitar dúvidas em alguns, o artigo 5º da lei traz algumas definições.

Sendo assim:

• Dado pessoal: como já explicamos antes, é qualquer informação relacionada a pessoa natural identificada ou identificável
• Dado pessoal sensível: é uma informação pessoal “sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”
• Tratamento: se refere a “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”.

A partir daí, a lei traz uma série de regras para o tratamento dos dados.

O artigo 7º, por exemplo, determina quais as hipóteses em que esse tratamento é permitido.

São elas:

• Com o consentimento do titular
• Para o cumprimento de obrigação legal ou regulatória pelo controlador
• Pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis
• Para a realização de estudos por órgão de pesquisa
• Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados
• Para o exercício regular de direitos em processo judicial, administrativo ou arbitral
• Para a proteção da vida ou da incolumidade física do titular ou de terceiro
• Para a tutela da saúde, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária
• Quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais
• Para a proteção do crédito.

Já o tratamento de dados pessoais sensíveis pode ocorrer em hipóteses ainda mais restritas, é claro, conforme determinado no artigo 11 da LGPD.

Os parágrafos deste artigo ainda impõem restrições à comunicação ou uso compartilhado de dados pessoais sensíveis com o objetivo de obter vantagem econômica.

Outra determinação importante da lei é o direito do titular ao acesso facilitado às informações sobre o tratamento de seus dados pessoais.

Ele tem o direito de saber qual a finalidade específica do tratamento, qual a forma e duração, quem e qual o contato do controlador, se há uso compartilhado e quais as responsabilidades dos agentes que realizam o tratamento.

No artigo 33, encontramos outra regra que vale a pena destacar, que se refere à transferência internacional de dados.

A disposição impõe restrições a esse tipo de operação, que só poderá ocorrer para países que proporcionem grau de proteção de dados pessoais adequados ao previsto na LGPD ou em algumas situações específicas.

Em outros artigos, há regras diversas sobre transparência, orientações a serem seguidas pelos controladores e operadores de dados e outras minúcias que as empresas devem observar com cuidado.

O que são dados sensíveis LGPD?

Como já destacado, a LGPD prevê uma diferenciação entre dados pessoais e dados pessoais sensíveis.

Recapitulando, os dados sensíveis são aqueles referentes a:

Origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

O que muda é que a lei prevê algumas regras específicas para o tratamento de dados sensíveis, que exige uma atenção extra.

O argumento para que as informações que listamos acima sejam consideradas sensíveis é que a irresponsabilidade no seu tratamento pode gerar danos ao cidadão.

Isso porque tratam de assuntos com potencial para ocasionar uma situação de discriminação.

Por exemplo, se uma pessoa tem divulgados indevidamente dados sobre sua filiação política, pode vir a ser tratada de modo diferente em sua vida profissional.

Outra situação hipotética é quanto a informações sobre a orientação sexual de um indivíduo, que podem gerar constrangimentos na vida familiar, entre outros problemas.

Quando entra em vigor a Lei Geral de Proteção de Dados?

A princípio, a LGPD entraria em vigor 18 meses após sua publicação, ou seja, em fevereiro de 2020.

A partir da publicação da Lei Nº 13.853/2019, que acrescentou e alterou artigos da LGPD, a regra é a seguinte, conforme consta no artigo 65:

Art. 65. Esta Lei entra em vigor:

I – dia 28 de dezembro de 2018, quanto aos arts. 55-A, 55-B, 55-C, 55-D, 55-E, 55-F, 55-G, 55-H, 55-I, 55-J, 55-K, 55-L, 58-A e 58-B e

II – 24 (vinte e quatro) meses após a data de sua publicação, quanto aos demais artigos.

Desse modo, a grande maioria dos dispositivos da LGPD entrarão em vigor em agosto de 2020.

Os artigos 55 e 58, que já passam a valer em fevereiro, dizem respeito à criação da Autoridade Nacional de Proteção de Dados (ANPD) e do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade.

Quais são os direitos do titular dos dados pessoais?

No seu artigo 2º, a Lei Geral de Proteção de Dados apresenta os fundamentos das disciplinas, que nada mais são que os direitos a serem respeitados no tratamento dos dados.

A seguir, listamos eles:

• Respeito à privacidade
• Autodeterminação informativa
• Liberdade de expressão, de informação, de comunicação e de opinião
• Inviolabilidade da intimidade, da honra e da imagem
• Desenvolvimento econômico e tecnológico e a inovação
• Livre iniciativa, a livre concorrência e a defesa do consumidor
• Direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

O que acontece com quem descumprir a LGPD?

O capítulo VIII da LGPD traz disposições sobre a fiscalização e as sanções administrativas que incidem sobre quem não cumprir a lei.

De acordo com o artigo 52, as possíveis sanções são as seguintes:

• Advertência, com indicação de prazo para adoção de medidas corretivas
• Multa simples, de até 2% do faturamento no seu último exercício, excluídos os tributos, limitada a R$ 50 milhões por infração
• Multa diária
• Publicização da infração após devidamente apurada e confirmada a sua ocorrência
• Bloqueio dos dados pessoais a que se refere a infração até a sua regularização
• Eliminação dos dados pessoais a que se refere a infração.

O parágrafo primeiro do artigo explica que as sanções são aplicadas após instaurado um procedimento administrativo, que deve prever a possibilidade de ampla defesa ao acusado.

Para a definição da sanção, serão analisados critérios como a gravidade da infração, a boa-fé do infrator, possível reincidência e outros elementos listados na lei.

Segundo o artigo 55-J da LGPD, compete à Autoridade Nacional de Proteção de Dados (ANPD) a incumbência de fiscalizar e aplicar as sanções.

Como as empresas devem se preparar para a LGPD?

Agora que você já tem um bom conhecimento sobre os principais dispositivos da Lei Geral de Proteção de Dados, o que fazer com essas informações?

Afinal, quando a lei entrar em vigência, qual o impacto das novas regras para as empresas brasileiras?

Esse tipo de preocupação é importante e mostra que você é um gestor interessado nas melhores práticas.

Em primeiro lugar, lembre-se que este artigo é um texto introdutório. Procure ler o texto completo da LGPD e, mais importante ainda, repasse-a para o seu departamento jurídico ou empresa ou profissional que presta o serviço de assessoria jurídica para você.

A partir daí, revise os processos da empresa em busca de áreas relacionadas com as novas regras.

Pode haver muito mais dados de clientes armazenados do que o administrador tem conhecimento, principalmente nos setores de vendas e marketing.

O segundo passo é mapear e controlar o processo.

Quem tem acesso aos dados, qual o uso que se faz dele? Documente isso tudo e revise se o modus operandi está alinhado com a LGPD.

Depois disso, desenhe os processos ideais, não apenas de manejo de dados, mas de prevenção a problemas.

Se possível busque soluções transparentes de automação no monitoramento e processamento de dados.

Conclusão

Embora seja difícil regulamentar a internet, esforços como a LGPD – Lei Geral de Proteção de Dados são necessários para dar mais transparência à maneira como os dados pessoais dos usuários são tratados.

Os cidadãos têm o direito à privacidade de suas informações mais íntimas e de saber como seus dados são utilizados.

Se você administra ou trabalha em uma empresa que mantém dados pessoais de clientes, convém se informar sobre as regras, que entram em vigor em agosto de 2020.

Discuta a LGPD com profissionais do departamento jurídico, marketing e de tecnologia e planeje ações para se adaptar no que for possível.

Ficou com alguma dúvida em relação à lei de proteção de dados brasileira? Deixe um comentário abaixo ou entre em contato.