O que é LGPD?

Palavras-chave: Lei Geral de Proteção de Dados Pessoais. Lei n. 13.709, de 14 de agosto de 2018. Direitos do titular de dados. Obrigações dos agentes de tratamento de dados.

1 Introdução

Muitos estão se perguntando o que vem a ser a sigla “LGPD”, que significa “Lei Geral de Proteção de Dados Pessoais”, Lei n. 13.709, de 14 de agosto de 2018. Esta lei é fruto de uma intensa discussão, que se iniciou em meados de 2011, a partir da Secretaria Nacional do Consumidor (Senacon) do Ministério da Justiça. Pouco tempo depois, na Câmara dos Deputados, iniciou a tramitação do Projeto de Lei n. 4.060 de 2012, de autoria do E. Deputado Milton Monti; sendo-lhe apensado o Projeto de Lei n. 5.276-A, de 2016, que é de autoria do Poder Executivo, cujo texto foi o efetivamente aprovado. O primeiro não previa a criação da “Autoridade Nacional de Proteção de Dados Pessoais e Privacidade” (ANPD), o que foi objeto do Projeto de Lei n. 5.276-A, ou seja, o órgão independente a quem incumbe a fiscalização e o efetivo cumprimento da lei.

Outrossim, vale destacar que por ter sido apensado ao Projeto de Lei anterior (Projeto de Lei n. 4.060 de 2012), cuja proposta foi do Legislativo (Deputado Milton Monti), todos os artigos que faziam referência à ANPD foram retirados da Lei n. 13.709/2018, evitando-se um questionamento sobre vício de origem, na medida em que apenas leis de iniciativa do Poder Executivo podem criar órgãos ou agências reguladoras. Por isso, a Medida Provisória n. 869, de 27 de dezembro de 2018, reinseriu a ANPD e todos os artigos que faziam referência a este órgão. Esta Medida Provisória foi convertida pela Lei n. 13.853, de 08 de julho de 2019, quando se pode dizer que efetivamente foi criada a “Autoridade Nacional de Proteção de Dados Pessoais e Privacidade” no Brasil.

Tendo em vista estas idas e vindas do texto normativo, hoje a LGPD tem uma numeração um pouco confusa, pois mistura letras e números, o que não é muito comum em leis, principalmente nas que são recentes como o caso da Lei n. 13.709/2018. Portanto, a LGPD foi fortemente influenciada pelo Direito Comunitário europeu, que tem uma tradição consolidada sobre o tema, desde a Diretiva 95/46/CCE e, atualmente, o Regulamento Geral de Proteção de Dados (RGPD), ou, em inglês, “General Data Protection Regulation” (GDPR), Regulation EU 2016/679.

A LGPD pode ser compreendida como um microssistema jurídico que garante direitos aos titulares de dados pessoais, entendidos como as pessoas naturais identificadas ou identificáveis pelas informações (art. 5o, incisos I e V da LGPD) constantes em bancos de dados ou tratadas nos termos da lei (art. 5o, inc. X da LGPD). Além disso, a LGPD determina os princípios para o tratamento de dados (art. 6o da LGPD), quais sejam: finalidade (o tratamento deve ser feito para propósitos legítimos, específicos, explícitos e informados ao titular), adequação (deve ser apropriado às finalidades informadas), necessidade (o tratamento de dados se limita ao mínimo necessário para atingir as finalidades), livre acesso (garantia de acesso facilitado e gratuito sobre a forma de tratamento e sua duração), qualidade (os dados devem ser exatos, atuais e relevantes de acordo com a finalidade do tratamento), transparência (garantia aos titulares dos dados de obterem informações claras, precisas e facilmente acessíveis), segurança (obrigação de se adotar medidas técnicas e administrativas que garantam a proteção aos dados pessoais), prevenção (adoção de medidas para prevenir danos decorrentes do tratamento de dados), não discriminação (proíbe-se o tratamento de dados pessoais para fins discriminatórios ilícitos ou abusivos) e responsabilização e prestação de contas (obriga os agentes de tratamento a demonstrarem a adoção de medidas eficazes que comprovem o cumprimento da lei).

2 O que você precisa saber sobre a LGPD?

É importante conhecer o que vem a ser “dado pessoal” para fins de aplicação da LGPD, entendido como a informação sobre uma pessoa natural determinada ou determinável (art. 5o, inc. I da LGPD). Além disso, os agentes de tratamento de dados são: controlador, operador e encarregado, categorias previstas na LGPD. O controlador é a pessoa natural ou jurídica, de direito público ou privado, que determina as regras de tratamento de dados (art. 5o, inc. VI); o operador é a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais conforme o que foi determinado pelo controlador; e o encarregado é o intermediador entre o titular de dados e o controlador e entre este e a Autoridade Nacional de Proteção de Dados.

Por isso, qualquer coleta, armazenamento, utilização, classificação, acesso, transmissão, reprodução, dentre outras condutas elencadas no inc. X do art. 5o da LGPD, realizadas pelo controlador ou pelo operador, quando determinar a pessoa natural sobre quem diga respeito deve ser realizada em observância às regras legais.

Portanto, as empresas e pessoas que realizam tratamento de dados pessoais precisam se atentar às regras para o tratamento principalmente o art. 7o da LGPD:

“Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:

I – mediante o fornecimento de consentimento pelo titular;

II – para o cumprimento de obrigação legal ou regulatória pelo controlador;

III – pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;

IV – para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

V – quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;

VI – para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);

VII – para a proteção da vida ou da incolumidade física do titular ou de terceiro;

VIII – para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;                   (Redação dada pela Lei nº 13.853, de 2019)

IX – quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou

X – para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.”

Todas estas bases para o tratamento de dados pessoais tem o mesmo peso, muito embora se fale muito sobre o consentimento do titular dos dados; mas além dele, o tratamento pode-se realizar quando a lei determinar ou mesmo o órgão controlador, como a ANPD, quando efetivamente criada. O tratamento de dados pessoais pode ser feito para orientar políticas públicas, bem como por órgãos de pesquisa, desde que anonimizados. Ademais, o tratamento de dados está autorizado nos termos da LGPD quando necessário à obtenção de informações preliminares à contratação, para o regular processo judicial, administrativo ou arbitral, proteção de crédito (aplicando-se as regras da Lei do Cadastro Positivo – Lei n. 12.414/2011) e para a tutela da vida ou incolumidade física do titular dos dados ou de terceiro. Por fim, uma outra base para o tratamento é a cláusula geral do “legítimo interesse” do controlador, desde que não colida com os direitos e liberdades fundamentais, como o direito à privacidade (art. 5o, inc. X da CF/88).  

3 Quando a LGPD entrará em vigor?

A lei entrará em vigor em agosto de 2020, pois o art. 65 da LGPD determina que a lei entrará em vigor em 24 (vinte e quatro meses) – inc. II, ressalvados os artigos que se referem à criação da “Autoridade Nacional de Proteção de Dados e Privacidade” (inc I). Dada às inúmeras adaptações que a lei requer, entende-se razoável prever um período mais longo para se exigir o cumprimento da lei.

Antes da Medida Provisória n. 869, de 27 de dezembro de 2018, este prazo era de 18 (dezoito) meses, o que seria fevereiro de 2020, isto porque quando a Lei n. 13.709, de 14 de agosto de 2018, foi aprovada previu uma longa vacatio legis, para que as empresas e cidadãos brasileiros possam se adequar à LGPD. Mas este prazo não seria tão razoável diante das discussões sobre a “ANPD” e as sanções que ela poderia aplicar.

Portanto, a partir de hoje (outubro de 2019), há 10 (dez) meses para todos os brasileiros se adequarem à LGPD. É um tempo suficiente, porém não se pode acomodar e deixar para a última hora, pois as mudanças são complexas e dependem do ramo de atividade de cada empresa e seus modelos de negócios.

4 Até a entrada em vigor da LGPD, os dados pessoais podem ser tratados livremente?

Cuidado, não se deixe enganar pelas pessoas que afirmam que até a entrada em vigor da LGPD não há proteção de dados no Brasil. Isto não está correto. A própria Lei de Acesso à Informação, Lei n. 12.527/2011, traz um conceito de dado pessoal (art. 4o, inc. IV): “informação pessoal: aquela relacionada à pessoa natural identificada ou identificável”, e nos artigos 30 e 31 determina o equilíbrio entre o acesso à informação e a proteção à privacidade. No mesmo ano, a Lei do Cadastro Positivo Lei n. 12.414/2011 que conceitua “banco de dados” como “o conjunto de dados relativo a pessoa natural ou jurídica, armazenados com a finalidade de subsidiar a concessão de crédito, a realização de venda a prazo ou de outras transações comerciais e empresariais que impliquem risco financeiro” (art. 2o, inc. I), já exige o consentimento como um de suas bases para o tratamento de dados (hoje mitigado pelas alterações em 2019). E o próprio Código de Defesa do Consumidor, Lei n. 8.078/1990, quando for uma relação de consumo, pode ser utilizado para a proteção de dados pessoais quando se tratar de uma relação de consumo.

Por fim, deve-se destacar o Marco Civil da Internet, Lei n. 12.965, de 23 de abril de 2014, art. 3o, inc. III, que garante a proteção de dados pessoais. No art. 7o, estabelecem-se direitos aos usuários da Internet: – informações claras e completas sobre coleta, uso e armazenamento, tratamento e proteção de dados pessoais (inc. VIII); – consentimento expresso sobre coleta, uso e armazenamento de dados pessoais (inc. IX); – exclusão dos dados pessoais (inc. X).

Portanto, até a entrada em vigor da LGPD, as empresas e os cidadãos brasileiros já devem estar atentos às leis que, direta ou indiretamente, protegem os dados pessoais.

5 Conclusão

A LGPD, “Lei Geral de Proteção de Dados Pessoais”, Lei n. 13.709, de 14 de agosto de 2018, é o microssistema jurídico que traz princípios e regras para o tratamento de dados pessoais, bem como direitos aos titulares de dados pessoais de um lado, e obrigações aos agentes de tratamento de dados pessoais, de outro. A lei representa uma maior segurança jurídica, na medida em que se conhece de antemão estes direitos e obrigações decorrentes do tratamento de dados pessoais.

Por isso, as empresas e os cidadãos brasileiros devem estar atentos à LGPD, adequando seu modelo de negócio, seus termos e condições de uso para demonstrarem compliance à proteção de dados pessoais e à privacidade. Principalmente, dispondo as informações sobre tratamento de dados pessoais de forma clara e de fácil acesso, coletando as informações estritamente necessárias às finalidades informadas aos titulares, adotando medidas técnicas e administrativas que demonstrem estarem cumprindo a lei, dentre outros aspectos.

Contudo, o mais importante é ter tudo isto registrado para que possa responder aos titulares de dados pessoais ou mesmo à “Autoridade Nacional de Proteção de Dados Pessoais e Privacidade”.

6 Referências bibliográficas

LIMA, Cíntia Rosa Pereira de. La dinamicità del diritto all’oblio e il pericolo della sua non flessibilità secondo l’orientamento del Supremo Tribunale Federale brasiliano. In: DE CICCO, Maria Cristina; PINTO, Eduardo Vera-Cruz; SILVA, Marco Antônio Marques da (orgs.) Direito à verdade, à memória e ao esquecimento. Lisboa: AAFDL, 2017. pp. 317 – 332.

______; DE LUCCA, Newton; SIMÃO FILHO, Adalberto (coords). Direito & Internet III: Marco Civil da Internet – Lei n. 12.965/2014. São Paulo: Quartier Latin, 2015. (tomos I e II).

______; BIONI, Bruno Ricardo. A proteção dos dados pessoais na fase de coleta: apontamentos sobre a adjetivação do consentimento implementada pelo art. 7, incs. VIII e IX, do Marco Civil da Internet a partir da Human Computer Interaction e da Privacy by default. In: ______; DE LUCCA, Newton De; SIMÃO FILHO, Adalberto (coords). Direito & Internet III: Marco Civil da Internet – Lei n. 12.965/2014. São Paulo: Quartier Latin, 2015. Tomo I. pp. 263 – 290.

______. Direito ao esquecimento e internet: o fundamento legal no Direito Comunitário Europeu, no Direito Italiano e no Direito Brasileiro. In: CLÊVE, Clêmerson Merlin; BARROSO, Luis Roberto. Coleção Doutrinas Essenciais em Direito Constitucional: direitos e garantias fundamentais, volume VIII, São Paulo, Revista dos Tribunais, 2015, p. 511 – 544.

MÉNARD, Marc. Autoroutes de l’information et société de l’information: pour un renversement de perspective. In: FRÉMONT, Jacques; DUCASSE, Jean-Paul. Les Autoroutes de l’Information: enjeux et défis. Montréal: Faculté de Droit, Université de Montréal, 1996. pp. 103 – 120.

PIZZETTI, Franco. Privacy e il diritto europeo alla protezione dei dati personali: dalla diretiva 95/46 al nuovo Regolamento europeo. Torino: G. Giappichelli Editore, 2016. p. 20.

RODOTÀ, Stéfano. I diritti della personalità. Milão: Giuffré, 1950.

______. Persona, riservatezza, identità. Prime note sistematiche sulla protezione dei dati personali. In:Rivista Critica del Diritto Privato, anno XV, n. 1, março 1997, pp. 583 – 609, pp. 588 – 591.

SOLOVE, Daniel. J. Conceptualizing Privacy. In: California Law Review, vol. 90, Issue 4 (2002), pp. 1087 – 1156.p. 1101.

Autora: Dra. Cíntia Rosa Pereira de Lima

Professora de Direito Civil da Faculdade de Direito de Ribeirão Preto. Líder dos Grupos de Pesquisa: Tutela jurídica dos dados pessoais na internet (http://dgp.cnpq.br/dgp/espelhogrupo/4485179444454399) e Observatório do Marco Civil da Internet no Brasil (http://dgp.cnpq.br/dgp/espelhogrupo/2215582162179038). Presidente do Instituto Avançado de Proteção de Dados – IAPD.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

A sua empresa já está certificada para a LGPD?

O IAPD é o instituto especializado em certificação de empresas e e de profissionais para avaliação da conformidade da sua atuação em relação à Lei Geral de Proteção de Dados. Prepare-se para as novas exigências do mercado no que se refere à privacidade e à segurança dos dados de seus clientes e parceiros.
Entre em contato

+55 (16) 99621-8887

/

/

Horário de Atendimento
Rolar para cima