ENTENDA A LGPD
Após oito anos de debates e redações, em 14 de agosto de 2018, o presidente Michel Temer sancionou a Lei Geral de Proteção de Dados do Brasil (LGPD), Lei 13.709/2018. A lei entraria em vigor este mês, permitindo às empresas e organizações um período de 18 meses para se adaptarem.
O objetivo da LGPD é preencher lacunas para substituir e/ou complementar a estrutura de mais de 40 diplomas legais que, de forma esparsa, regulamentam o uso de dados no país hoje. A principal influência para a criação da LGPD foi a GDPR (General Data Protection Regulation), que entrou em vigor em 2019 e regulamenta a questão para os países europeus. É a mais importante legislação recente sobre privacidade de dados, que passou a ser modelo para outros países.
Na mesma linha do regulamento europeu, a LGPD irá mudar a forma de funcionamento e operação das organizações ao estabelecer regras claras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais, impondo um padrão mais elevado de proteção e penalidades para o não cumprimento da norma.
Alguns conceitos presentes na LGPD
- Dados pessoais: qualquer informação relacionada à pessoa natural identificada ou identificável.
- Tratamento de dados: toda operação realizada com dados pessoais, como as que se referem à coleta, classificação, utilização, acesso, reprodução, processamento, armazenamento, eliminação, controle da informação, entre outros.
A coleta e processamento de dados deverá atentar às bases legais impostas pela lei. O novo texto prevê nove hipóteses que tornam lícitos os tratamentos de dados, com destaque a duas principais: fornecimento de consentimento e o legítimo interesse.
É necessária a obtenção de consentimento explícito pelo titular dos dados. Outra hipótese que autoriza o uso dos dados é o legítimo interesse do controlador, que poderá promover o tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas.
A lei elenca dez princípios que as organizações devem obedecer quanto ao tratamento de dados, com destaque para o princípio da finalidade, da adequação, da necessidade e da transparência.
Atores envolvidos
A lei detalha os papéis de quatro diferentes agentes: o titular, o controlador, o operador e o encarregado.
- O titular: é a pessoa física a quem se referem os dados pessoais.
- O controlador: é a organização ou pessoa física que coleta dados pessoais e toma todas as decisões em relação a forma e finalidade do tratamento dos dados. O controlador é responsável por como os dados são coletados, para que estão sendo utilizados e por quanto tempo serão armazenados.
- O operador: é a organização ou pessoa física que realiza o tratamento e processamento de dados pessoais sob as ordens do controlador.
- O encarregado: é a pessoa física indicada pelo controlador e que atua como canal de comunicação entre as partes (controlador, os titulares e a autoridade nacional), além de orientar os funcionários do controlador sobre práticas de tratamento de dados.
Direitos do Titular
O direito mais elementar da pessoa física em termos de proteção de dados é o de titularidade de seus dados pessoais (artigo 17 da LGPD). Significa que, ao permitir o tratamento de seus dados pessoais, de modo algum e em nenhuma circunstância, a pessoa transfere a outrem a condição de dono de seus próprios dados pessoais.
O titular dos dados pessoais tem o direito de requisitar do controlador, a qualquer momento:
I. a confirmação da existência de tratamento;
II. o acesso aos dados mantidos pelo controlador;
III. a correção de dados incompletos, inexatos ou desatualizados;
IV. a anonimização, bloqueio ou eliminação de dados, desde que sejam considerados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD;
V. a portabilidade de seus dados pessoais a outro fornecedor de serviço;
VI. a eliminação dos dados pessoais quando retirado o consentimento dado anteriormente;
VII. a relação de com quem seus dados foram compartilhados;
VIII. a informação de que poderá negar consentimento e quais suas consequências;
IX. a revogação do consentimento.
A pessoa física também tem o direito de peticionar contra os agentes de tratamento diretamente à Autoridade Nacional de Proteção de Dados, que exerce fiscalização e controle sobre aqueles (artigo 18, §1º).
Quando uma decisão a respeito de seus dados pessoais é tomada com base em tratamento automatizado, o titular tem direito à revisão dessa decisão (artigo 20).
O exercício dos direitos decorrentes da proteção de dados pode ser feito individualmente pelo titular ou por tutela coletiva, quando procurados os órgãos do sistema de Justiça que desempenham essa função.