Advogada

Com a LGPD o Brasil se insere em um seleto e importante grupo de países que contam com um nível elevado de legislação em termos de proteção de dados pessoais, superando o atual estágio de tratamento setorial.

A LGPD dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, estabelecendo regras e limites para empresas a respeito da coleta, armazenamento, tratamento e compartilhamento de dados, o que favorece o desenvolvimento econômico.

Em linhas gerais, os titulares de dados passaram a ter maior controle sobre todo o processamento dos seus dados pessoais, do que decorre diversas obrigações para controladores (a quem competem as decisões sobre o tratamento dos dados) e operadores (aqueles que tratam os dados de acordo com o estipulado pelos controladores).

Um dos princípios mais relevantes é o da finalidade, por meio do qual os dados deverão ser utilizados apenas para as finalidades específicas para as quais foram coletados e devidamente informadas aos titulares, juntamente com o princípio da minimização da coleta, isto é, somente devem ser coletados os dados mínimos necessários para que se possa atingir a finalidade, e o da retenção mínima, o qual determina a imediata exclusão dos dados, após atingida a finalidade pela qual eles foram coletados – excetuado o caso em que a conservação é necessária para o cumprimento de obrigações legais ou regulatórias, conforme previsto na lei.

Assim, a LGPD trará mais segurança jurídica para empresas e maior proteção aos direitos dos titulares dos dados, sendo crucial entender os conceitos relevantes desta nova norma para compreensão dos seus impactos na prática.

Para compreender o que a LGPD representa para você, seu negócio e/ou seu evento, este primeiro artigo trará os principais pontos e conceitos sobre esta nova Lei – que possui potencial para trazer impactos à sociedade como poucas leis antes trouxeram.

Inicialmente, trazemos alguns conceitos:

O que são dados pessoais?

Um dos mais relevantes ativos para o exercício de qualquer atividade empresarial, pessoal ou social, assim como para a concretização de políticas públicas, não há dúvida sobre a importância do tratamento do dado pessoal para o desenvolvimento econômico global.

Dados pessoais (art. 5º, I): segundo a Lei, dado pessoal é informação relacionada a pessoa natural identificada ou identificável. Assim, a LGPD traz um conceito amplo e aberto, pois qualquer dado que isoladamente (dado pessoal direto) ou agregado a outro (dado pessoal

indireto) possa permitir a identificação de uma pessoa natural, pode ser

considerado como dado pessoal. Exemplos: dados cadastrais, data de nascimento, profissão, dados de GPS, identificadores eletrônicos, nacionalidade, gostos, interesses e hábitos de consumo, entre outros.

Dado pessoal sensível (Art. 5º, II): dado pessoal sensível é o dado pessoal que verse sobre (i) origem racial ou étnica; (ii) convicção religiosa; (iii) opinião política; (iv) filiação a sindicato ou a organização de caráter religioso, filosófico ou político; (v) dado referente à saúde ou à vida sexual; (vi) dado genético ou biométrico, quando vinculado a uma pessoa natural. São aqueles dados relacionados a pessoa natural identificada ou identificável por meio dos quais uma pessoa pode ser discriminada e, por tal motivo, devem ser considerados e tratados como dados sensíveis.

O que não é dado pessoal?

Dados anonimizados ou que passam por processo de anonimização não são dados pessoais (art. 5º, III e XI): o dado anonimizado é relativo ao titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.

Já a anonimização é a utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.

O uso de dados anonimizados se mostra primordial para possibilitar o desenvolvimento e aprimoramento de novas tecnologias, como a Internet das Coisas e a Inteligência Artificial, porém a dificuldade é enorme de se comprovar que meios técnicos razoáveis e disponíveis na ocasião do tratamento não possam levar a identificação do titular.

A Lei também não atinge diretamente documentos confidenciais, segredos de negócios, fórmulas, algoritmos, direitos autorais ou propriedade industrial, que são protegidos por outras normas, mas somente eventuais dados pessoais que estejam dentro de tal tipo de conteúdo.

O que a Lei considera como tratamento de dados?

Assim como o conceito amplo a respeito dos dados pessoais, a LGPD apresenta um conceito aberto e um rol exemplificativo das ações que são consideradas como tratamento de dados pessoais.

Tratamento (art. 5º, X): toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Para se tratar dados pessoais, o que inclui a prática da coleta e todas as demais citadas pelo dispositivo legal como a recepção, classificação, arquivamento e transferência, sempre é necessário ter um fundamento legal. Nesse ponto, mostra-se importante observar que o consentimento se torna uma das 10 (dez) hipóteses legais para o tratamento de dados.

Titular (art. 5º, V): pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;

Controlador (art. 5º, VI): pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;

Operador (art. 5º, VII): pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

Agentes de tratamento (art. 5º, IX): são o controlador e o operador;

Eliminação (art. 5º, XIV): exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;

Relatório de impacto à proteção de dados pessoais (art. 5º, XVII): documentação do controlador, que poderá ser solicitada pela Autoridade Nacional de Proteção de Dados (ANPD), e deverá conter a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de prevenção e mitigação de risco.

A LGPD entrou em vigor em agosto de 2020, ou seja, entidades públicas e privadas devem se adaptar.

Há diversos caminhos e abordagens para tratar esse processo que podem trazer benefícios para além da conformidade com a Lei.

Os desafios são grandes, mas a chegada da LGPD pode ser bastante positiva.