LGPD é a sigla popularizada para designar a Lei Geral de Proteção de Dados Pessoais, uma lei cuja finalidade é normatizar e uniformizar as regras sobre coleta, armazenamento e manipulação de dados pessoais no Brasil.

A LGPD define de forma explícita e detalhada os direitos das pessoas físicas sobre seus dados pessoais coletados, bem como deveres das pessoas e entidades que mantém este tipo de dado.

Neste artigo, será apresentada uma visão geral da LGPD a partir dos elementos presentes no texto da lei. Dessa forma, o conteúdo a seguir representa nossa interpretação sobre o texto e está sujeito a alterações na própria lei ou nas interpretações sobre ela pelas autoridades competentes.

Século 21: “Dados são o Novo Petróleo”

A frase de 2006, do matemático inglês Clive Humby, ganha mais força a cada ano à medida que novas empresas e novos negócios inteiramente novos são criados e atingem a cifra dos bilhões. Cada vez mais empresas definem a si próprias como “empresas de dados”. Empresas como a Intel, conhecida por manufaturar processadores, estão entre as que se definem dessa forma visando uma fonte de riqueza em franca expansão. Ironicamente, o mesmo processo acontece com as empresas de petróleo que se referem a si mesmas como empresas de energia!

Uber, Netflix, Spotify são exemplos de empresas que apesar de fornecerem serviços aparentemente comuns (transporte, filmes/séries e música) são, na verdade, empresas de dados. Seus produtos até parecem os mesmos de antigamente, mas a forma como a empresa funciona e, principalmente, seu faturamento e diferencial em relação aos concorrentes deve-se a forma como eles são capazes de fazer dos dados seu maior ativo.

Privacidade, Direitos e Dados Pessoais

Diferentemente do petróleo que está no subsolo para ser explorado, dados são coletados e armazenados de diversas fontes. Uma destas fontes é o fornecimento pelas pessoas ao, por exemplo, usarem aplicativos das ditas “empresas de dados”. Na verdade, nos casos do Google e Facebook, por exemplo, os usuários são na verdade o produto, uma vez que os serviços são gratuitos, mas as empresas ainda assim conseguem faturar o suficiente para estar entre as maiores do mundo.

Esse tipo de dado é o “Dado Pessoal”, pois é referente a uma pessoa natural, seus hábitos e suas preferências. Geralmente, esse tipo de dado é tão valioso quanto mais sensível ele é. Imagine quanto valeria para os planos de saúde as informações sobre quais remédios para doença crônica uma pessoa toma. Porém, a exploração desse “petróleo” valioso esbarra em questões de privacidade que no mundo digital ainda não nos acostumamos a entender como tão importante quanto no mundo real.

A Corrida do Ouro

Em algumas décadas olharemos para o momento atual e o chamaremos de “velho oeste dos dados”. A exploração de dados, atualmente, em muito se assemelha à colonização do velho oeste americano: muitas oportunidades para aqueles que se aventuravam por terras desconhecidas com grandes expectativas de recompensa. Contudo, as “corridas do ouro” também costumam trazer consigo altos custos para os participantes e para os que ficam no caminho (como os índios e os búfalos). Exploração desenfreada de uma determinada atividade lucrativa geralmente gera algum impacto não previsto. Estruturas de regulação acabam sendo criadas somente algum tempo depois.

No caso dos dados pessoais não é diferente. Estamos assistindo surgir as normas regulatórias desta indústria que já é gigantesca e tem efeitos e impactos igualmente grandes sobre a vida de todos nós e dos que ainda nem nasceram.

GDPR – Inspiração da LGPD

Uma das primeiras e provavelmente a mais importante iniciativa de centralização de regras sobre o tema de uso de dados pessoais é a GDPR (General Data Protection Regulation). A GDPR é a regulamentação europeia, em vigor desde maio de 2018 para tratamento de dados pessoais e é a grande inspiração da lei brasileira, a LGPD.

Uma das motivações da GDPR foi o evento envolvendo coleta de dados pessoais de usuários do Facebook pela Cambridge Analytica. Esta coleta de dados influiu nas eleições americanas e no plebiscito do Brexit. Esse evento deu uma amostra de quão sério é o assunto e de como impactante pode ser o mau uso (ou uso com interesses particulares) de dados pessoais.

Efeito Contágio – A Força da LGPD

Na carona da GDPR que já está em vigor, a LGPD vale-se do mesmo efeito de contágio entre empresas de uma mesma cadeia produtiva. Dispositivos de responsabilidade mútua entre empresas que compartilham dados e as restrições de negócios para empresas que não estejam adequadas à legislação geram uma pressão para que todas as empresas dentro de uma cadeia produtiva adaptem-se às regras.

No mesmo sentido, penalidades podem ser aplicadas a várias empresas por um mesmo evento de vazamento de dados, por exemplo. Dessa forma, empresas podem ser cortadas da lista de fornecedores por não estarem de acordo com as exigências legais. Por isso, existe a percepção de que este “efeito contágio” será o grande motor da aderência das empresas às novas leis, incluindo a LGPD.

Fundamentos da LGPD

Logo em seu primeiro artigo, a LGPD deixa claro seu objetivo central: “Esta lei dispõe sobre tratamento de dados pessoais (…)“. Assim, a lei trata de dados pessoais, mas regula especificamente os tratamentos sobre este tipo particular de dado. Por “tratamento” deve-se entender qualquer operação feita com os dados (a lei lista vinte) e grande parte do regramento é sobre o que pode, o que não pode ser feito e por quem. Antes disso, porém, a lei define alguns fundamentos, conceitos e princípios para facilitar seu entendimento e consequente aplicação. A seguir, estão os principais fundamentos da LGPD.

Escopo

Levando-se em conta o ambiente tecnológico e a característica internacional ou mesmo supranacional das grandes empresas mantenedoras de dados pessoais, é realmente importante definir um escopo ou alcance factível para a regulamentação e posterior aplicação da lei. Dessa forma, a LGPD deixa claro que os atos regidos por ela são as operações realizadas em território nacional, explicitando três situações:

  • I – a operação de tratamento seja realizada no território nacional;
  • II – a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou 
  • III – os dados pessoais objeto do tratamento tenham sido coletados no território nacional.

O alvo da legislação é a exploração comercial de dados. Assim, são definidas exceções: (1) as atividades realizadas “por pessoa natural para fins exclusivamente particulares e não econômicos” não estão no escopo da lei; (2) algumas atividades específicas: jornalismo, atividades artísticas, atividades acadêmicas, segurança pública, defesa nacional, segurança do estado e atividades de investigação e repressão de infrações penais.

Conceitos e Definições

Alguns conceitos chave para o entendimento da lei são:

  • Dado Pessoal: informação relacionada a pessoa natural identificada ou identificável
  • Dado Pessoal Sensível: dado de origem racial ou étnica, convicção religiosa, opinião política, filiação sindical ou religiosa, filosófica, política, referente a saúde, vida sexual, genética, biométrica de uma pessoa
  • Dado Anonimizado: dado relativo ao titular que não pode ser identificado (dado anonimizado não é dado pessoal – art. 12)
  • Banco de Dados: conjunto estruturado de dados em meio físico ou eletrônico
  • Titular: pessoa natural a quem se referem os dados pessoais tratados (dono dos dados)
  • Controlador: pessoa natural ou jurídica a quem competem as decisões sobre os tratamentos de dados pessoais (responsável)
  • Operador: pessoa natural ou jurídica que realiza o tratamento em nome do controlador
  • Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, titulares e a Agência Nacional de Proteção de Dados
  • Agente de Tratamento: controlador e operador
  • Anonimização: meios técnicos no momento do tratamento que impede a possibilidade de identificação de um indivíduo a partir do dado
  • Pseudoanonimização: (art. 13) anonimização que pode ser revertida com informação adicional mantida separadamente pelo controlador
  • Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados para uma finalidade específica
  • Bloqueio: suspensão temporária de qualquer operação de tratamento
  • Eliminação: exclusão definitiva de dado ou de conjunto de dados armazenados em banco de dados, independente do procedimento empregado
Esquema simplificado entre os principais conceitos da LGPD

Os conceitos listados podem não representar uma informação organizada, mas a figura com o esquema simplificado pode mostrar a forma como os principais conceitos se relacionam. Este esquema é uma espécie de “caminho feliz” no tratamento de dados pessoais indo de sua fonte (Titular) passando pelo instrumento de autorização (Consentimento) para um tratamento e indo até o destinatário onde o tratamento ocorrerá (Controlador).

É importante salientar que o consentimento precisa ter uma finalidade específica devidamente informada ao titular. Esta finalidade vai definir quais tratamentos podem ser realizados.

Outro ponto importante é a presença do papel do “Operador” que é um ator opcional que simplesmente realiza as operações de tratamento, sendo o controlador o verdadeiro responsável pelas ações.

Princípios

A LGPD enumera os princípios sobre os quais foi elaborada e sobre os quais a lei deve ser interpretada. Os princípios são importantes para nortear as demais seções da lei além de futuras instruções normativas ou ações. São eles:

  • Finalidade: realização de tratamento para propósitos legítimos, específicos, explícitos, e informados ao titular
  • Adequação: compatibilidade do tratamento com as finalidades informadas
  • Necessidade: limitação do tratamento ao mínimo necessário para realizar suas finalidades com abrangência dos dados pertinentes, proporcionais e não excessivos
  • Livre Acesso: consulta facilitada e gratuita sobre forma e duração de tratamentos
  • Qualidade dos Dados: garantia de exatidão, clareza, relevância e atualização
  • Transparência: garantia de informações claras, precisas e facilmente acessíveis
  • Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados acidentais ou ilícitas
  • Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais
  • Não Discriminação: impossibilidade de realização de tratamento para fins discriminatórios ilícitos ou abusivos
  • Responsabilização e Prestação de Contas: demonstração, pelo agente, de adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais, incluindo a eficácia das medida

Tratamento de Dados

Como visto nos “fundamentos”, o tratamento de dados é a atividade a ser regulada e controlada para que os dados das pessoas sejam tratados da forma correta ou mesmo consentida. Assim, o conceito de “tratamento” de dados pessoais é abordado de forma particular na LGPD.

A ocorrência de um tratamento está associada a vários outros elementos conforme pode ser visto no esquema a seguir.

Tratamento como elemento central na LGPD

Além dos elementos básicos como “titular”, “consentimento” e “controlador”, a lei prevê textualmente 20 operações que podem ser consideradas um tratamento. Na prática, qualquer coisa feita com dados pessoais pode ser considerada um tratamento sob o ponto de vista da LGPD.

Operações de tratamento previstas na lei

Além da lista de coisas que são consideradas um tratamento, a lei também explicita as hipóteses em que um tratamento pode ocorrer. Esta hipótese é o amparo legal que um controlador tem ao realizar um determinado tratamento.

Hipóteses para realização de tratamento de dados pessoais

A primeira e principal hipótese para um controlador realizar um tratamento é o consentimento. Uma vez tendo sido autorizado pelo titular, um tratamento pode ocorrer sem problemas nem dúvidas. Porém, existem outras situações onde o tratamento pode ocorrer sem consentimento. Cada caso está devidamente explicado na lei e listado na figura acima.

Contudo, um dos itens ainda não é muito claro sobre sua abrangência. O item ‘Interesse Legítimo do Controlador” deixa margem para uma hipótese em que o consentimento não é necessário, mas o motivo do tratamento é justamente o interesse do controlador.

Consentimento (Requisito do Tratamento)

O consentimento é a hipótese mais natural para a ocorrência de um tratamento. Ou seja, é a que está ligada ao interesse do controlador e de suas atividades econômicas, justamente o principal alvo da LGPD.

O consentimento é o instrumento pelo qual o titular manifesta sua concordância com o tratamento dos seus dados pessoais por um determinado controlador. A existência e exigência de um consentimento obrigatório para as situações onde ele é necessário fazem com que o ônus da prova, em caso de conflito, seja do controlador.

A lei determina algumas características fundamentais de um consentimento:

Finalidade específica – O consentimento deve deixar claras as finalidades dos tratamentos que serão realizadas sobre os dados pessoais. É explicitamente proibido um consentimento ter finalidades genéricas, sendo consideradas nulas neste caso.

Revogação a qualquer momento – O titular, a qualquer momento, pode revogar todas ou algumas das autorizações que foram dadas no consentimento.

Para que ocorra compartilhamento de informações entre o controlador que capta o dado e um outro controlador deve haver um consentimento específico para este fim. Por outro lado, em caso de dados tornados públicos o consentimento torna-se desnecessário.

Acesso ao Tratamento

Independente se o tratamento exige ou não um consentimento, o titular tem o direito de obter infirmações sobre o que está sendo feito com seus dados. A lei diz “O titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados” e ainda completa com as informações que o controlador é obrigado a fornecer. Além da finalidade, informações da forma e duração do tratamento devem ser informadas. É necessário informar ainda a identificação do controlador bem como informações de contato. Devem ser informados ainda as questĩes relativas a compartilhamento de dados e a responsabilidade de todos os agentes envolvidos no tratamento específico. Juntamente com todas as informações específicas sobre o tratamento em si devem ser agregadas as informações de direitos do titular especialmente sobre o artigo referente aos direitos do titular.

Tomando como base o que precisará ser informado em relação a tratamentos realizados, pode-se imaginar que as empresas e pessoas que venham a ser controladores precisarão armazenar informações detalhadas sobre os tratamentos que ocorrem em seus sistemas ou mesmo processos de negócio não digitais. Tal registro além do armazenamento de informações em si tem um grande impacto sobre os sistemas já existentes.

Situações Particulares

Os dados pessoais sensíveis são aqueles apresentados anteriormente junto com os conceitos e referem-se a saúde, escolha religiosa ou politica, por exemplo. Em alguns artigos são definidas regras particulares para o tratamento deste tipo de dado, além das questões de uso de dados pessoais em estudos por órgãos de pesquisa. Neste caso, os dados devem ser anonimizados sempre que possível.

Outra situação particular ocorre no tratamento de dados pessoais de uma criança ou adolescente, pois estes precisam ser consentidos por um de seus responsáveis legais. Também é definido que o controlador deve fazer “esforços razoáveis” para garantir que a pessoa que dê o consentimento seja mesmo o responsável legal.

No artigo 12 fica explícito que dados anonimizados não são considerados dados pessoais, a menos que possam ser identificados. Dessa forma, se efetivamente anonimizados, tais dados não estão cobertos pela LGPD.

Término do Tratamento

Diferente do que ocorre atualmente onde os dados pessoais são uma espécie de propriedade de quem os controla para fazer o que quiser por quanto tempo quiser, de acordo com a LGPD, os dados pessoais devem ser eliminados quando o tratamento chega ao fim. Este “fim” é claramente definido em quatro hipóteses:

I – Finalidade alcançada
II – Fim do período de tratamento (vigência)
III – Comunicação do titular nesse sentido
IV – Determinação da autoridade nacional

Este término está alinhado ao princípio da “necessidade” onde o tratamento deve se limitar ao mínimo necessário para realizar suas finalidades e não mais do que isso.

Uma vez terminado, os dados pessoais devem ser eliminados. Contudo, também são apresentadas as quatro exceções à eliminação:

I – Cumprimento de obrigação legal ou regulatória
II – Estudo por órgão de pesquisa (anonimização sempre que possível)
III – Transferência a terceiros se consentido
IV – Uso exclusivo pelo controlador se o dado for anonimizado

Direitos do Titular

Assim como em relação ao término de tratamentos, onde o controlador precisa eliminar os dados após fazer uso mínimo deles, a LGPD valoriza a questão da privacidade do titular e apresenta claramente os vários direitos que ele tem sobre seus próprios dados. Isso significa que o controlador precisa adaptar-se para atender tais direitos. O esquema abaixo mostra os 9 itens elencados:

Direitos do Titular

Esta parte da lei deve ser observada com atenção, pois cada direito do titular é um dever do controlador em relação aos dados pessoais que ele mantém e trata. Cada um dos nove direitos explicitados gera um tipo de necessidade e impactos para o controlador. A seguir cada um deles é detalhado.

1. Confirmação de Existência do Tratamento – Uma pessoa tem o direito de ser informada se algum dado pessoal seu é tratado de alguma forma por um controlador. Se um tratamento existe, o controlador deve ser capaz de registrar e recuperar estas informações.

2. Acesso aos Dados – Uma vez que dados pessoais pessoais estejam de posse de um controlador, o titular pode ter acesso a eles. Deve haver uma forma de extrair os dados pessoais de um titular específico de dentro de um sistema de negócio do controlador.

3. Correção dos Dados – Além do acesso descrito acima, o titular pode também solicitar que seus dados sejam corrigidos. Ou seja, além de ser capaz de recuperar dados pessoais de um titular dentro de seus sistemas de negócio, o controlador deve ser capaz de atualizar estes dados independente de onde estejam ou da forma como estão armazenados.

4. Adequação à Necessidade – É a anonimização, bloqueio ou eliminação de dados que já não são mais necessários e não há porque o controlador continuar efetuando tratamentos. Este direito tem forte relação com o princípio da necessidade.

5. Portabilidade – É o direito de um titular levar seus dados de um controlador para outro de forma a ter junto ao novo controlador o mesmo perfil gerado pelos seus dados pessoais no controlador antigo. Por exemplo, o titular poderia pedir para levar seu perfil de usuário de aplicativo de transporte de um tipo de aplicativo para outro e ter uma avaliação no segundo baseada nos dados coletados e/ou derivados pelo primeiro.

6. Eliminação – Independente da adequação à necessidade, o titular pode, a qualquer momento solicitar a eliminação de seus dados pessoais.

7. Informação sobre Compartilhamento – Além de poder saber o que o controlador faz com seus dados, o titular tem o direito de saber todos os outros controladores que receberam seus dados e quais dados especificamente.

8. Informações sobre não Consentimento – No ato de solicitar um consentimento, o controlador deve deixar claras as consequências de o titular não dar o consentimento. Serviços como redes sociais, por exemplo, podem não habilitar certas funcionalidades ou mesmo nem permitir que o usuário continue seu cadastro se não consentir algum tratamento específico. Neste caso isso deve estar claro para o usuário.

9. Revogação de Consentimento – O titular pode revogar o que consentiu a qualquer tempo e o controlador deve ser capaz de interromper o tratamento nestes casos.

Por fim, ainda é apresentado um direito relativo ao questionamento de decisões automatizadas. Ou seja, o titular pode questionar uma decisão ou inferência do controlador que foi baseada em uma decisão automatizada a partir dos dados pessoais do titular. Por exemplo, a avaliação de um usuário em um aplicativo de transporte. Uma avaliação ruim pode ser questionada e o controlador deve ser capaz de explicar e demonstrar os processos utilizados, desde que não firam segredos comerciais e industriais.

Agentes

Uma das coisas que mais surpreendem as pessoas ao conhecerem os detalhes da LGPD é que elas descobrem-se enquadradas como controladores de dados e, consequentemente, com obrigações legais que elas nem imaginavam que poderiam existir. Um profissional como um médico, por exemplo, que mantém dados de cadastro de seus pacientes é, aos olhos da legislação, um controlador de dados pessoais e deve cumprir as obrigações da forma como foram mostradas anteriormente.

Controladores e seus eventuais operadores contratados devem registrar os tratamentos de dado pessoais que realizam. Não somente os mais importantes nem os mais recentes, mas sim TODOS os tratamentos – qualquer uma das 20 operações – que vierem a acontecer.

De uma forma geral, quem mantém e manipula dados pessoais para fins econômicos ou para fins definidos pela LGPD pode ser considerado um controlador.

Contudo, nem todos que manipulam dados pessoais são controladores:

No caso do operador é mais simples. O operador é aquele agente que efetua de fato as operações de tratamento. Ele faz isso em nome do controlador como um escritório de contabilidade faz a contabilidade de uma empresa.

Os agentes são os grandes impactados pela LGPD, pois eles farão as implementações necessárias de seus sistemas informatizados (e serão muitas) bem como seus processos de negócio. Empresas que hoje coletam dados pessoais de praxe em suas transações provavelmente vão reavaliar as necessidades reais destas práticas, pois agora haverá um custo de organização e registro dos tratamentos bem como os riscos envolvidos em manter dados pessoais.

Impacto

Uma vez que uma pessoa ou empresa perceba-se um controlador de dados pessoais, a primeira questão é “qual será o impacto sobre meu negócio”. De fato, essa é uma pergunta que deve ser feita o quanto antes, pois a resposta pode ser simples como “posso parar de manter dados pessoais” ou complicada como “meu negócio se baseia em dados pessoais”.

No segundo caso, a LGPD deve estar sendo vista como um meteoro prestes a causar uma grande extinção prevista para agosto de 2020. Esta pode até ser uma imagem um pouco exagerada, mas de fato existem alguns riscos no horizonte.

Riscos e Penalidades

Prejuízo à Imagem da Organização – Em tempos de LGPD e de usuários conscientes de seus direitos de titulares, um incidente como um vazamento de dados, por exemplo, vai marcar uma empresa de forma definitiva. Além da credibilidade e imagem arranhadas para o público em geral, a empresa pode ter problemas para fazer novos negócios e até ser prejudicada nos que já mantém.

Multa de até 2% do Faturamento ou 50 milhões – A ANPD (Agência Nacional de Proteção de Dados pode aplicar sanções que vão desde advertências até multas de até 2% do faturamento da empresa, limitada a 50 milhões de reais.

Ressarcimento de Danos Causados – Com os direitos e deveres bem definidos pela LGPD fica mais fácil de exigir na justiça ressarcimento sobre vazamentos ou tratamentos irregulares de dados pessoais. Além disso, casos de vazamento de dados compartilhados geram responsabilidade compartilhada. Ou seja, se a empresa A compartilhou dados pessoais com a empresa B que por sua vez deixou vazar estes dados, ambas as empresas serão responsabilizadas. Vale lembrar também que a responsabilidade sobre tratamento de dados permanece mesmo após o tratamento ter sido encerrado.

Adaptação do Negócio

Adaptar-se pode não ser fácil, mas será inevitável. A mudança não será restrita aos sistemas informatizados ou aos bancos de dados. Em muitos casos todo o negócio poderá ser abalado com as novas restrições. Dessa forma, é uma boa ideia começar pelo diagnóstico do negócio para saber, por exemplo, o tamanho do problema. Todos os dados pessoais coletados e mantidos devem ser identificados bem como os processos de negócio que tratam este dado. Mesmo dentro da mesma empresa pode ser necessário fazer uma rota de por onde o dado passou e como foi tratado em cada setor.

Assim como a GDPR e em grande parte por causa dela, a LGPD não é como aquelas leis brasileiras que “não pegam”. A regulamentação de proteção de dados pessoais já é uma realidade e as pessoas de uma organização devem entender isso. Os esforços não devem ser somente para escapar ou evitar multas, mas sim para mudar de forma sustentável a relação das atividades com os dados pessoais para longo prazo.

Depois destes passos iniciais de diagnóstico e internalização, os aspectos técnicos devem ser tratado e investimentos precisarão ser realizados. Sistemas informatizados devem ser adaptados e os novos devem ser criados com as boas práticas de TI e segurança de dados.

Conclusão

No século 21, dados são o novo petróleo e muitas empresas aproveitarão essa fonte de riqueza disponível em seus bancos de dados. Porém, a partir do momento atual onde as regulamentações criam regras claras e principalmente consequências para quem não as segue, a exploração deste “recurso” deve ser feita de forma profissional e organizada.

Tratamentos de dados pessoais como definidos na LGPD, GDPR ou demais regulamentações já vigentes tendem a ser tão comuns para as empresas como hoje são a contabilidade e o departamento de RH. Ou seja, deverá ser um assunto corriqueiro, porém importante para uma organização tanto pelos riscos de sanções e prejuízos quanto pelas oportunidades de negócio que o tema traz.

Referências

[LGPD] http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709compilado.htm

[GDPR] https://eugdpr.org/

Material de Apoio

3 comentários em “LGPD

Deixe uma resposta