Nascida da aglutinação de outras propostas que há muito tempo vinham tramitando paralelamente sobre o tema da privacidade, como os escândalos de privacidade do Facebook – em que a empresa Cambridge Analytica utilizou de dados dos usuários para que pudessem fazer uma campanha política mais assertiva e customizada na eleição de Donald Trump em 2016 – a Lei Geral de Proteção de Dados Pessoais vem para proteger a segurança de dados e a privacidade da pessoa natural, já que não havia no Brasil uma legislação com objetivo específico de defender os dados dos usuários e definir responsabilidades relativas ao tratamento destes.
A lei define conceitos claros sobre o que são dados:
- Dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
- Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
- Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
- Banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;
Elenca agentes no processo de proteção à privacidade:
- Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
- Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
- Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
- Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
- Agentes de tratamento: o controlador e o operador;
Versa sobre princípios:
1) Princípio da Finalidade:
A partir da LGPD não será mais possível tratar dados pessoais com finalidades genéricas ou indeterminadas. O tratamento de cada informação pessoal deve ser feito com fins específicos, legítimos, explícitos e informados. Ou seja, as empresas devem explicar para que usarão cada um dos dados pessoais.
Essas finalidades também devem estar dentro dos limites da lei e devem vir expressamente acompanhadas de todas as informações relevantes para o titular.
Além disso, a empresa não está autorizada a modificar a finalidade durante o tratamento. Se sua startup solicita o e-mail do cliente para a finalidade específica de login na plataforma, você não pode automaticamente utilizar esse mesmo e-mail para enviar publicidade ou ofertas.
2) Princípio da Adequação:
Os dados pessoais tratados devem ser compatíveis com a finalidade informada pela empresa. Ou seja, sua justificativa deve fazer sentido com o caráter da informação que você pede.
Por exemplo: se o seu negócio é um e-commerce de produtos eletrônicos, dificilmente será justificável pedir dados de saúde aos Usuários. Então, se não é compatível, o tratamento se torna inadequado.
3) Princípio da Necessidade:
As startups e empresas em geral devem utilizar apenas os dados estritamente necessários para alcançar as suas finalidades. Procure fazer uma ponderação entre o que é realmente essencial para o seu negócio e o que é apenas conveniente.
Lembre-se que quanto mais dados você tratar, maior será a sua responsabilidade, inclusive em casos de vazamentos e incidentes de segurança.
4) Princípio do Livre acesso:
A pessoa física titular dos dados tem o direito de consultar, de forma simples e gratuita, todos os dados que a empresa detenha a seu respeito.
Além disso, devem ser especificadas questões como: o que a empresa faz com as suas informações, de que forma o tratamento é realizado e por quanto tempo.
5) Princípio da Qualidade dos dados:
Deve ser garantido aos titulares que as informações que a empresa tenha sobre eles sejam verdadeiras e atualizadas. É necessário ter atenção à exatidão, clareza e relevância dos dados, de acordo com a necessidade e com a finalidade de seu tratamento.
6) Princípio da Transparência:
Todas as informações passadas pela empresa, em todos os seus meios de comunicação, devem ser claras, precisas e verdadeiras.
Além disso, a empresa não pode compartilhar dados pessoais com outras pessoas de forma oculta. Se você repassa dados pessoais para terceiros, inclusive para operadores que sejam essenciais para a execução do serviço, o titular precisa saber.
7) Princípio da Segurança:
É responsabilidade das empresas buscar procedimentos, meios e tecnologias que garantam a proteção dos dados pessoais de acessos por terceiros, ainda que não sejam autorizados, como nos casos de invasões por hackers.
Além disso, devem ser tomadas medidas para solucionar situações acidentais, como destruição, perda, alteração, comunicação ou difusão dos dados pessoais de suas bases.
8) Princípio da Prevenção:
O princípio da prevenção objetiva que as empresas adotem medidas prévias para evitar a ocorrência de danos em virtude do tratamento de dados pessoais. Ou seja, as empresas devem agir antes dos problemas e não somente depois.
9) Princípio da Não Discriminação:
Os dados pessoais jamais podem ser usados para discriminar ou promover abusos contra os seus titulares.
A própria LGPD já criou regras específicas para o tratamento de dados que frequentemente são utilizados para discriminação, os chamados dados pessoais sensíveis, como os que tratam sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual e dado genético ou biométrico.
10) Princípio da Responsabilização e Prestação de Contas:
Além de se preocuparem em cumprir integralmente a Lei, as empresas devem ter provas e evidências de todas as medidas adotadas, para demonstrarem a sua boa-fé e a sua diligência.
Alguns bons exemplos estão na comprovação que fizeram treinamentos de equipe, a contratação de consultorias esppecializadas, a utilização de protocolos e sistemas que garantam a segurança dos dados e o acesso facilitado do titular a empresa sempre que preciso.
Assim, compreendendo e internalizando a verdadeira intenção da LGPD se torna mais fácil para as startups desenharem seus modelos de negócios e a todas as empresas tratarem os dados na prática. Caso tenha dúvidas específicas sobre o fluxo de dados no seu negócio, procure um especialista.
Cria direitos:
- Confirmação da existência de tratamento.
- Acesso, do titular dos dados, aos seus dados.
- Correção de dados incompletos, inexatos ou desatualizados.
- Anonimização, bloqueio ou eliminação de dados tratados em desconformidade com a LGPD.
- Portabilidade dos dados a outro fornecedor de serviço ou produto.
- Eliminação dos dados pessoais tratados com o consentimento do titular
- Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados.
- Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa.
- Revogação do consentimento do titular dos dados.
- Oposição ao tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto na lei.
- Direito arevisão humana de decisões automatizadas (profiling).
e, principalmente, estabelece as bases legais pelas quais a coleta, uso e tratamento dos dados serão permitidos:
1 – Mediante o fornecimento de consentimento pelo titular
Esta possivelmente é a base legal de tratamento de dados mais difundida pelos consultores e estudiosos do tema em geral, mas ao mesmo tempo a mais problemática de se realizar a gestão. A LGPD exige que o consentimento seja ser fornecido por escrito ou por outro meio que demonstre a manifestação inequívoca de vontade do titular.
Quando o consentimento se der por escrito, ele deverá constar em uma cláusula destacada das demais contratuais, que não pode ser genérica, justamente para que seja comprovado que aquele consentimento foi dado para uma finalidade específica de tratamento.
Porém, o maior problema em tratar dados pessoais com base no consentimento do titular é o fato de que ele é considerado um autorizador temporário, uma vez que pode ser revogado a qualquer momento, mediante manifestação expressa do titular, por procedimento gratuito e facilitado. Em outras palavras, caso uma empresa colete dados através do consentimento dos titulares desses dados, será necessário dispor de algum tipo de plataforma que permita a exclusão dos dados após a requisição do titular e que mantenha evidência dessa exclusão para fins de comprovação posterior, caso necessário, tudo de forma gratuita.
Portanto, recomenda-se que a coleta de dados se dê com base no consentimento somente de forma residual, caso não seja possível o tratamento de dados através de alguma outra das outras 9 bases legais expostas ao longo deste texto.
2 – Para o cumprimento de obrigação legal ou regulatória pelo controlador
A 2ª base legal para tratamento de dados pessoais prevista pela LGPD é o cumprimento de obrigação legal ou regulatória pelo controlador. Este é um autorizador da LGPD que possibilita que a lei não entre em conflito com outras legislações vigentes em nosso país, o que acabaria por gerar uma discussão sobre a possibilidade ou não do titular de dados registrar reclamação contra um tipo de tratamento de dados que estivesse em discordância com outra determinação legal.
No caso de uma obrigação decorrente de lei acarretar em um tratamento de dados pessoais por parte de uma empresa, essa estará autorizada a trata-los de modo a cumprir a dita exigência legal ou regulatória.
Exemplificando, seria o caso de uma empresa transmitir os dados de seus empregados constantes de seus registros internos de RH à Secretaria Especial do Ministério da Economia (antigo Ministério do Trabalho), a fim de cumprir com a entrega da Relação Anual de Informações Sociais (Rais). Nesse caso, os empregados não podem opor resistência ao compartilhamento de dados, uma vez que é necessária para o cumprimento de uma obrigação legal/regulatória por parte do controlador.
3 – Pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;
Durante o trabalho de consultoria para adequação à LGPD, uma das principais dúvidas que surgem é a seguinte: esta lei se aplica ao tratamento de dados pessoais realizado por parte da Administração Pública? O inciso III do art. 7º da LGPD responde a esta pergunta: sim, órgãos da administração pública precisam se adequar e cumprir a lei ao tratarem e compartilharem dados pessoais para execução de politicas públicas ou respaldadas em contratos, convênios ou instrumentos congêneres, sem a necessidade de consentimento dos titulares.
Contudo, a Administração Pública é obrigada a fornecer ao titular dos dados informações claras e inequívocas sobre a base legal para o tratamento dos dados, a finalidade e quais os procedimentos utilizados ao longo do ciclo de vida do dado dentro dos sistemas da Administração Pública.
A Administração Pública somente não estará obrigada a cumprir com as exigências da LGPD no caso de tratamento de dados feito exclusivamente para fins de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação ou de repressão de infrações penais.
De se ressaltar que os serviços notariais e de registro exercidos em caráter privado, por delegação do Poder Público, terão o mesmo tratamento dispensado aos órgãos públicos, devendo fornecer acesso aos dados por meio eletrônico para a Administração Pública.
Uma grande diferença da aplicação da LGPD aos órgãos públicos para o âmbito privado diz respeito às penalidades aplicadas. Para a Administração Pública, não há a previsão de sanção pecuniária, mas apenas a advertência, a publicização da infração, bloqueio ou eliminação dos dados pessoais a que se refere a infração, sem prejuízo das sanções previstas no Estatuto do Servidor Público Federal, na lei de Improbidade Administrativa e na lei de acesso à informação.
4 – Para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
Também é permitido o tratamento de dados pessoais feito para realização de estudos por órgãos de pesquisa, de modo que, sempre que possível, estes dados deverão ser anonimizados, a fim de garantir a privacidade dos titulares e evitar possíveis vazamentos, uma vez que um dado anonimizados é aquele que não é possível identificar o seu titular, considerando a utilização de técnicas razoáveis na ocasião do tratamento.
Uma prática já utilizada pelos órgãos de pesquisa com o intuito de anonimizar os dados pessoais é, por exemplo, quando em uma pesquisa para apuração de intenção de votos em uma eleição, haja a proporção de votação para cada candidato de acordo com sexo, escolaridade, região geográfica, classe social, etc. O resultado da pesquisa é cumprido, ao ponto que é praticamente impossível saber quem foram as pessoas que demonstraram aquelas intenções utilizando-se de técnicas razoáveis para tentar atribuir um conjunto de dados a uma pessoa individualizada.
5 – Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
A 5ª base legal autorizadora do tratamento de dados pessoais é a necessidade para execução de um contrato ou de procedimentos preliminares relacionadas a um contrato que o titular dos dados figurará como integrante.
Nesse caso, o tratamento de dados se dará a pedido do próprio de titular dos dados para garantir a execução de um contrato ou de seus procedimentos preliminares. Essa hipótese se assemelha um pouco com o tratamento de dados via consentimento, com a diferença de que o titular dos dados não poderá revogar o seu fornecimento a qualquer momento, uma vez que a outra parte estará resguardada pela LGPD para poder manter os dados fornecidos pelo titular enquanto durar a vigência do contrato.
Um exemplo seria a contratação por parte de um titular de dados de um serviço cujo objeto principal é o tratamento de dados pessoais, tal como acontece com a inserção de dados em um serviço de armazenamento em nuvem.
6- Para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307/96 (Lei de Arbitragem);
Outra base legal possível de ser utilizada pelo controlador é o tratamento de dados pessoais para o exercício regular de direitos em processo judicial, administrativo ou arbitral.
Esse autorizador garantido pela LGPD é uma decisão acertada com o intuito de garantir o direito de produção de provas de uma parte contra a outra em um processo judicial (na maioria das vezes), administrativo ou arbitral, este último nos termos da Lei de Arbitragem. Permitir que uma das partes se oponha a este tipo de tratamento de dados seria cercear o direito de defesa da outra em um processo e infringir os preceitos constitucionais da ampla defesa e do contraditório.
7 – Para a proteção da vida ou da incolumidade física do titular ou de terceiro;
Ademais, a LGPD também admite o tratamento de dados feito com o intuito de proteger a vida ou a incolumidade física do titular dos dados ou de terceiros.
Trata-se de um autorizador legal cujo objetivo é garantir a proteção de bens de elevado interesse público, tais como a vida e a incolumidade física, desde que devidamente comprovada essa necessidade e exposta a finalidade do tratamento dos dados nesta situação.
Esta é uma base legal autorizadora para o tratamento de dados pessoais tão específica que, até mesmo o art. 11, II, e da LGPD estabelece que dados pessoais sensíveis poderão ser tratados sem o fornecimento de consentimento do titular, caso sejam indispensáveis para a proteção da vida ou da incolumidade física do titular ou de terceiro, haja vista o interesse público envolvido neste tipo de tratamento.
Um exemplo deste tipo de tratamento de dados é o seguinte: imagine uma pessoa inconsciente dando entrada em um hospital que nunca esteve na vida após sofrer um grave acidente. Nesse caso, o novo hospital precisará de todo o histórico médico do paciente constante de um outro hospital que ele costuma frequentar, estando, portanto, autorizado o médico que irá atende-lo requisitar a documentação ao outro hospital, que poderá compartilhar toda a documentação que disponha daquele paciente.
8 – Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
Seguindo a mesma ideia da base legal mencionada no item anterior, a LGPD também autoriza o tratamento de dados para a tutela da saúde, desde que realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária.
É também uma base legal que tem como plano de fundo o interesse público no tratamento dos dados pessoais, sendo objeto de regras específicas dentro da própria LGPD quando o controlador atuar na área da saúde. Provavelmente será um dos itens de maior debate ao longo da formação e consolidação da consciência de proteção de dados na sociedade brasileira.
Da mesma forma que o item anterior, esta também é uma base legal autorizadora para o tratamento de dados pessoais bastante específica, em que o art. 11, II, f da LGPD estabelece que dados pessoais sensíveis poderão ser tratados sem o fornecimento de consentimento do titular, caso sejam indispensáveis para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária.
Uma especificidade do tratamento com base neste inciso é a autorização do art. 11 da referida lei para a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde nos casos de prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde, incluídos os serviços auxiliares de diagnose e terapia, com objetivo de obter vantagem econômica, desde que em benefício dos interesses dos titulares de dados, sendo vedado às operadoras de planos privados de assistência à saúde o tratamento de dados de saúde para a prática de seleção de riscos na contratação de qualquer modalidade, assim como na contratação e exclusão de beneficiários. Qualquer outro tipo de comunicação ou uso compartilhado de dados referentes à saúde é categoricamente vedado pela LGPD.
9 – Quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais;
Após o consentimento, a 2ª base legal autorizadora de tratamento de dados mais propagada é o legítimo interesse do controlador ou de terceiros. No entanto, assim como o consentimento, esta base legal é potencialmente problemática, sendo recomendado utiliza-la somente quando não houver outra base legal aplicável ao caso, pela nebulosidade e fragilidade que envolvem o tema.
Além de ser um tanto quanto difícil apontar, neste momento, o que seria o “legítimo interesse” do controlador ou de terceiro, uma vez que não há uma previsão legal no ordenamento jurídico brasileiro a respeito da definição deste termo, é sempre muito importante sopesar até que ponto o legítimo interesse do controlador ou de terceiro sobrepõe o do titular dos dados, ou fere alguma outra disposição expressa da LGPD.
O art. 10 da LGPD determina que o legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a: 1) apoio e promoção de atividades do controlador e 2) proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais.
Portanto, para que se possa utilizar esta base legal como autorizadora para o tratamento de dados é necessário identificar um interesse inequivocamente legítimo, demonstrar que o tratamento de dados é necessário para se atingir tal objetivo e tomar o devido cuidado para não violar nenhum dispositivo legal ou nenhum direito do titular daqueles dados.
10 – Para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
A 10ª e última base legal possível de utilização para se realizar o tratamento de dados pessoais é a proteção do crédito, em observância às regras especificas para este tema.
O objetivo do legislador foi evitar que titulares de dados pessoais se utilizem de uma brecha legislativa para criarem mecanismos de escaparem de cobranças por dívidas contraídas.
Seria inimaginável pensar em um titular de dados requerendo a exclusão dos mesmos dos cadastros do SPC e Serasa, por exemplo, sob a alegação de que não autorizou o referido tratamento ou que violaria a sua privacidade, safando-se, assim, de instrumentos para efetivar a cobrança do crédito.
Debates acalorados sobre um possível conflito entre a inclusão automática no Cadastro Positivo e a LGPD surgiram no meio acadêmico, discussão essa que possivelmente somente será resolvida com a efetiva criação da Autoridade Nacional, que buscará harmonizar as determinações de ambos dispositivos legais, uma vez que é sim possível que o Cadastro Positivo siga as regras da LGPD, notadamente no que diz respeito à transparência e à informação sobre o tratamento dos dados pessoais.
Em resumo, essas definições, princípios, bases legais e direitos são o que de mais fundamental compõem a Lei Geral de Proteção de Dados pessoais.
Mas ela vai além disso, também com a criação de um órgão da administração pública encarregado de fiscalizar e zelar pela aplicação da lei em todo o território nacional: a Agência Nacional de Proteção de dados ou ANPD e também, no texto da lei, fala de forma bastante didática dos procedimentos e processos para adequação e conformidade das bases de dados à lei. Quase um manual.