Legislação entrou em vigor nesta sexta-feira
Entrou em vigor hoje
(18) a Lei Geral de Proteção de Dados. Aprovada em 2018 depois de uma batalha
de anos, a LGPD coloca o Brasil ao lado de mais de 100 países onde há normas
específicas para definir limites e condições para coleta, guarda e tratamento
de informações pessoais.
A LGPD (Lei No
13.709) disciplina um conjunto de aspectos: define categorias de dados,
circunscreve para quem valem seus ditames, fixa as hipóteses de coleta e
tratamento de dados, traz os direitos dos titulares de dados, detalha condições
especiais para dados sensíveis e segmentos (como crianças), estabelece
obrigações às empresas, institui um regime diferenciado para o Poder Público,
coloca sanções em caso de violações e prevê a criação de uma autoridade
nacional.
Definições e aplicação
Segundo a norma,
dados pessoais são informações que podem identificar alguém. Dentro do
conceito, foi criada a categoria “dado sensível”, com informações sobre origem
racial ou étnica, convicções religiosas, opiniões políticas, saúde ou vida
sexual. Registros como esses passam a ter nível maior de proteção, para evitar
formas de discriminação.
Quem fica sujeito à
lei? Todas as atividades realizadas ou pessoas que estão no Brasil. A norma
vale para coletas operadas em outro país, desde que estejam relacionadas a bens
ou serviços ofertados a brasileiros, ou que tenham sido realizada no país.
Mas há exceções. É o
caso da obtenção de informações pelo Estado para segurança pública, defesa
nacional e investigação e repressão de infrações penais. Essa temática deverá
ser objeto de uma legislação específica. A lei também não se aplica a coletas
para fins exclusivamente particulares e não econômicos, jornalísticos,
artísticos e acadêmicos.
Tratamento
O tratamento de dados
é caracterizado na LGPD como “toda operação realizada com dados pessoais, como
as que se referem a coleta, produção, recepção, classificação, utilização,
acesso, reprodução, transmissão, distribuição, processamento, arquivamento,
armazenamento, eliminação, avaliação ou controle da informação, modificação,
comunicação, transferência, difusão ou extração”.
Esse só pode ocorrer
em determinadas hipóteses. A principal é por meio da obtenção do consentimento
do titular, mas não é a única. A ação é autorizada na lei para cumprimento de
obrigação legal, estudos por órgão de pesquisa, proteção da vida do titular ou
de terceiro, tutela da saúde por profissionais ou autoridades da área. A
administração pública pode coletar e tratar dados para a consecução de
políticas públicas previstas em leis e regulamentos ou respaldadas em
convênios. Também fica desobrigado do consentimento a prática de “proteção do
crédito”, como o cadastro positivo.
A obtenção do
consentimento envolve um conjunto de requisitos, como ocorrer por escrito ou
por outro meio que mostre claramente a vontade do titular e ser ofertado em uma
cláusula destacada. O consentimento deve ser relacionado a uma finalidade
determinada. Ou seja, não se pode solicitar o consentimento para a posse
simplesmente de uma informação, mas deve ser indicado para que ela será
utilizada.
Contudo, o Artigo 10
da lei garante a possibilidade de um uso distinto daquele informado na coleta,
situação denominada de “legítimo interesse”. É um caso muito usado pelas
empresas, no qual a norma exige a adoção de medidas de transparência e que
nessa finalidade adicional sejam utilizados os dados estritamente necessários.
Os dados sensíveis
têm regras específicas de tratamento. A Autoridade Nacional pode regulamentar
ou vetar o emprego destes para vantagem econômica. No caso da saúde, tal
finalidade é proibida, mas com diversas exceções, como prestação de serviços,
assistência farmacêutica e assistência à saúde.
Direitos
A LGPD lista os
direitos dos titulares. É possível, por exemplo, revogar a qualquer momento o
consentimento fornecido. Quando há uso dos dados para uma nova finalidade (na
situação de “legítimo interesse”), o controlador deve informar o titular sobre
esse novo tratamento, podendo o titular revogar o consentimento. Também é
previsto a este acesso facilitado a informações sobre o tratamento, como
finalidade, duração, identificação do controlador (incluindo informações de
contato) e responsabilidade de cada agente na cadeia de tratamento.
A pessoa pode
requisitar da empresa a confirmação da existência do tratamento, o acesso aos
dados (saber o que uma companhia tem sobre ela), correção de registros errados
ou incompletos, eliminação de dados desnecessários, portabilidade de dados a
outro fornecedor, informação sobre com qual entidade pública aquela firma compartilhou
as informações (com um ente governamental, polícia, ou Ministério Público, por
exemplo).
“As plataformas de
serviços na internet terão que solicitar o consentimento dos usuários e
informar o que é feito com eles: por exemplo, o rastreio para publicidade
direcionada, como funciona, quais dados são coletados, como e com quem são
compartilhados para esta finalidade”, explica a presidente do Instituto de
Pesquisa em Direito e Tecnologia do Recife (IP.Rec) e integrante da Coalizão
Direitos na Rede, Raquel Saraiva.
A coleta e o
tratamento de dados de crianças têm garantias e normas próprias. Nesse caso, é
preciso obter o consentimento de um dos pais. A única exceção é quando a coleta
em o intuito de contatar os pais. Os controladores precisam dar transparência
ao que fazem com as informações. A obtenção de dados além do necessário não
poderá ser condicionada ao uso de jogos ou aplicações de Internet. As
informações sobre o tratamento devem ser apresentadas de forma compreensível
pelas crianças.
O titular dos dados
pode também solicitar a revisão de uma decisão com base em tratamento
automatizado. Estas podem ser a concessão de crédito, a autorização para
contratação de um serviço (como um pacote de telefonia), a escolha em um
processo seletivo ou a disponibilização de conteúdos em redes sociais. O
controlador deve, neste caso, indicar os critérios e procedimentos adotados.
Papeis
A LGPD elenca o papel
dos agentes das cadeias de tratamento de dados. O titular é aquele a quem o
dado está relacionado, o controlador é o agente a quem competem as decisões
sobre o tratamento, e o operador, o que realiza o tratamento. Por exemplo, uma
cadeia de supermercados pode coletar e analisar dados de seus clientes
(controladora), mas pode contratar uma empresa para fazer isso (o operador).
Obrigações das empresas
Ao coletar dados, as
empresas devem informar a finalidade. A lei previu uma série de obrigações para
elas, que têm de manter registro sobre as atividades de tratamento, de modo que
possam ser conhecidas mediante requerimento pelos titulares ou analisadas em
caso de indício de irregularidade pela Autoridade Nacional. Quando receberem um
requerimento do titular, a resposta às demandas tem de ser dada em até 15 dias.
Cabe aos
controladores indicar um encarregado pelo tratamento. As informações sobre este
deverão ser disponibilizadas de forma clara, como nos sites das
companhias. Caso a Autoridade determine, a controladora deve elaborar relatório
de impacto à proteção de dados pessoais das suas atividades de tratamento.
Esses entes devem
adotar medidas para assegurar a segurança das informações e a notificação do
titular em caso de um incidente de segurança. Tal exigência vale para todos os
agentes da cadeia de tratamento. Se um controlador causar dano a alguém por
causa de uma atividade de tratamento, poderá ser responsabilizado e deverá
reparar o prejuízo.
“As empresas deverão
trabalhar com a adoção de procedimentos que tenham a privacidade por padrão, o
que pode alterar a forma de coleta dos dados de algumas empresas. Antes da
vigência da LGPD era comum que serviços de Internet, por exemplo, coletassem
dados indiscriminadamente, para, posteriormente, tratá-los, sem finalidade
específica. Agora, o objetivo deve estar bem claro e ser previamente informado
ao titular dos dados pessoais, que pode concordar, ou não, em submeter ao
procedimento”, destaca Raquel Saraiva.
Poder Público
No caso do Poder Público,
a lei dispensa o consentimento no tratamento de dados para políticas públicas
previstas em leis, regulamentos e contratos. É permitido também o uso
compartilhado de dados por entes públicos, desde que respeitados os princípios
previstos na norma. Uma obrigação é que cada órgão informe as hipóteses de
tratamento de dados, incluindo a base legal, a finalidade e os procedimentos
empregados para tal.
Órgãos públicos ficam
proibidos de passar dados a entes privados, com exceção de quando estes forem
acessíveis publicamente (como em cadastros disponíveis na Internet) ou no caso
de execução de uma política pública de forma descentralizada.
As empresas públicas
(como Petrobras, Correios e Banco do Brasil) têm as mesmas obrigações dos entes
privados quanto atuam em concorrência no mercado, mas podem fazer jus às regras
próprias do Poder Público quando estiverem operacionalizando políticas
públicas.
Em 2019, o governo
federal regulamentou o
compartilhamento de dados dentro da administração pública federal. O decreto
dispensou a exigência de convênio ou acordo para essa comunicação e institui
três modalidades de compartilhamento. No caso de dados sem restrição ou sigilo,
a partilha será ampla, com divulgação pública e fornecimento a qualquer pessoa
que fizer a solicitação.
A forma restrita será
adotada quando lidar com dados submetidos a obrigações de sigilo com a
finalidade de execução de políticas públicas, com modos de comunicação
simplificadas entre os órgãos. Já a modalidade específica envolve dados
protegidos por sigilo, cujo compartilhamento poderá ser feito para órgãos
determinados nas situações previstas na legislação.
Sanções e fiscalização
A LGPD lista um
conjunto de sanções para o caso de violação das regras previstas, entre as
quais destacam-se advertência, com possibilidade de medidas corretivas; multa
de até 2% do faturamento com limite de até R$ 50 milhões; bloqueio ou
eliminação dos dados pessoais relacionados à irregularidade, suspensão parcial
do funcionamento do banco de dados e proibição parcial ou total da atividade de
tratamento.
A fiscalização fica a
cargo do Autoridade Nacional de Proteção de Dados (ANPD), órgão criado com
vinculação à Presidência da República, com indicação no texto da lei de um
estudo para um formato mais autônomo dois anos depois. Até agora, o Palácio do
Planalto não instituiu a ANPD. No dia seguinte à derrota do adiamento do
início da vigência proposto na Medida Provisória No 959, no fim de setembro, a
Presidência editou decreto com a estrutura do órgão, mas, na prática, este
ainda não existe.
Com Informações
Agência Brasil