A Lei Geral de Proteção de Dados Pessoais – LGPD (Lei n. 13.709, de 2018) dispõe sobre o tratamento de dados pessoais das pessoas naturais, definindo as hipóteses em que tais dados podem legitimamente ser utilizados por terceiros e estabelecendo mecanismos para proteger os titulares dos dados contra usos inadequados.
A Lei é aplicável ao tratamento de dados realizado por pessoas naturais ou por pessoas jurídicas de direito público ou privado, e tem, conforme o art 1º, o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
A LGPD tem por objetivo proteger os direitos fundamentais relacionados à esfera informacional do cidadão. Assim, a Lei introduz uma série de novos direitos que asseguram maior transparência quanto ao tratamento dos dados e conferem protagonismo ao titular quanto ao seu uso.
A aprovação da LGPD e a criação da Autoridade Nacional de Proteção de Dados – ANPD representam também importantes passos para colocar o Brasil no mesmo patamar de muitos outros países que já aprovaram leis e estruturas institucionais dessa natureza. A constituição de um ambiente jurídico voltado à proteção de dados pessoais corresponde também ao alinhamento com diretrizes da Organização para a Cooperação e Desenvolvimento Econômico – OCDE, que há décadas vem desempenhando um relevante papel na promoção do respeito à privacidade como um valor fundamental e como um pressuposto para o livre fluxo de dados.
Do ponto de vista dos agentes de tratamento de dados, sejam empresas ou o próprio poder público, a LGPD traz a oportunidade de aperfeiçoamento das políticas de governança de dados, com adoção de regras de boas práticas e incorporação de medidas técnicas e administrativas que mitiguem os riscos e aumentem a confiança dos titulares dos dados na organização.
Com isso, a LGPD pretende aumentar o controle do cidadão quanto aos seus dados pessoais, a transparência e a segurança jurídica, além de elevar o nível de maturidade, ética e competitividade de nossas organizações.
A Lei entrou em vigor de maneira escalonada:
A LGPD adota, no art. 5º, inciso I, um conceito aberto de dado pessoal, definido como a informação relacionada a uma pessoa natural identificada ou identificável.
Assim, além de informações básicas de identificação, a exemplo de nome, número de inscrição no Registro Geral (RG) ou no Cadastro Nacional de Pessoas Físicas (CPF) e endereço residencial, são também considerados dados pessoais outros dados que estejam relacionados com uma pessoa natural, tais como seus hábitos de consumo, sua aparência e aspectos de sua personalidade.
Segundo art. 12, § 2º, da LGPD, poderão ser igualmente considerados como dados pessoais aqueles utilizados para formação do perfil comportamental de determinada pessoa natural, se identificada.
Os dados pessoais sensíveis são aqueles aos quais a LGPD conferiu uma proteção ainda maior, por estarem diretamente relacionamentos aos aspectos mais íntimos da personalidade de um indivíduo. Assim, de acordo com o art 5º, II, são dados pessoais sensíveis aqueles relativos à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dados referentes à saúde ou à vida sexual, dados genéticos ou biométricos, quando vinculados a uma pessoa natural.
A LGPD garante proteção a todos os dados cujos titulares são pessoas naturais, estejam eles em formato físico ou digital. Assim, a LGPD não alcança os dados titularizados por pessoas jurídicas – os quais não são considerados dados pessoais para os efeitos da Lei.
Segundo a LGPD, no art. 5º, X, tratamento de dados pessoais é toda operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Com a entrada em vigor da LGPD, o tratamento de dados pessoais pode ser realizado quando se verificar a ocorrência de qualquer uma das hipóteses previstas na lei, como aquelas constantes em seu artigo 7o ou, no caso de dados pessoais sensíveis, as hipóteses previstas no artigo 11.
Vale notar, conforme o art. 7º, § 4º, que a LGPD é aplicável também aos dados cujo acesso é público e àqueles tornados manifestamente públicos pelos titulares, resguardando-se a observância dos princípios gerais e dos direitos dos titulares previstos na Lei.
O tratamento de dados pessoais poderá ser realizado em qualquer uma das seguintes hipóteses consignadas expressamente na LGPD, como é o caso das previstas no art 7º:
As bases legais para o tratamento de dados pessoais sensíveis estão previstas no art. 11 da LGPD. Já no caso de transferência internacional de dados pessoais, é necessário atender às hipóteses legais indicadas no art. 33.
A ANPD é o órgão da administração pública federal responsável por zelar pela proteção de dados pessoais e por regulamentar, implementar e fiscalizar o cumprimento da LGPD no Brasil.
A missão institucional da ANPD é assegurar a mais ampla e correta observância da LGPD no Brasil e, nessa medida, garantir a devida proteção aos direitos fundamentais de liberdade, privacidade e livre desenvolvimento da personalidade dos indivíduos.
O art. 55-J da LGPD estabelece as principais competências da ANPD, dentre as quais se destacam as seguintes:
A LGPD estabelece uma série de providências que devem ser adotadas pelos agentes de tratamento, que incluem o mapeamento e o registro das operações de tratamento de dados pessoais que realizarem, incluindo a identificação das respectivas bases legais e finalidades; a adoção de medidas técnicas e administrativas e de processos e políticas internas que assegurem o cumprimento das normas de proteção de dados pessoais; e o estabelecimento de um canal de contato com os titulares de dados pessoais.
A Lei determina, no art. 41, que os controladores de dados devem indicar um Encarregado para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD. Em determinadas circunstâncias, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados, a ANPD poderá estabelecer hipóteses de dispensa da necessidade de sua indicação (art. 41, § 3º).
Não será exigido que pessoas físicas ou jurídicas que realizam tratamento de dados transfiram para a ANPD seus bancos de dados. Cabe à ANPD fiscalizar e aplicar sanções quando o tratamento de dados ocorrer em desconformidade com a legislação de proteção de dados, mediante processo administrativo, com contraditório e ampla defesa.
O encarregado deve ser indicado pelo controlador por meio de procedimentos administrativos definidos pela pessoa natural ou jurídica. Conforme previsto na LGPD, no art. 41, § 1º, as informações de contato do encarregado deverão ser divulgadas publicamente de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador.
Não há, até o momento, previsão legal para que os dados do encarregado sejam encaminhados à ANPD. Também não consta na legislação, nem em orientações da ANPD, exigência para que o encarregado possua algum tipo de certificação profissional.
Conforme suas atribuições legais, a ANPD poderá reconhecer e divulgar regras de boas práticas, o que não se confunde com validação individual de material informativo. Assim, documentos orientativos, tais como guias e manuais, elaborados por controladores ou operadores, individualmente ou por meio de associações não necessitam ser avaliados previamente pela ANPD.]
Quanto aos documentos com previsão legal de verificação por parte da ANPD, como, por exemplo, os mencionados no art. 35 da LGPD, importa mencionar que ainda não se encontram regulamentados os procedimentos que orientarão a atuação da Autoridade nesse tocante, motivo pelo qual ainda não estão sendo realizadas atividades nesse sentido.
A LGPD não especifica um prazo durante o qual pode haver o tratamento dos dados pessoais, o que dependerá da circunstância e da finalidade do tratamento.
Nos termos do art. 15 da LGPD, o término do tratamento de dados pessoais deve ocorrer nas seguintes hipóteses:
Na incidência de qualquer uma das hipóteses acima, a Lei determina que os dados pessoais sejam eliminados, conforme consta em seu art. 16, mas autoriza a conservação para as seguintes finalidades:
Assim, se na situação concreta não houver a incidência de uma das finalidades autorizadas pela LGPD, os dados devem ser eliminados após o término do tratamento.
A ANPD emitirá normas complementares sobre o tratamento dos dados pessoais. No momento, é importante que seja verificada a existência de amparo legal para o tratamento do dado.
Ainda não há capacitação formatada pela ANPD referente à aplicabilidade da LGPD, assim como não existem organizações credenciadas junto à Autoridade para oferta de cursos ou certificações.
As ações dirigidas à capacitação e à orientação dos agentes de tratamento e da sociedade quanto às normas de Proteção de Dados Pessoais encontram-se previstas no Planejamento Estratégico da ANPD.
As informações relativas às ações empreendidas e às orientações emitidas pela ANPD têm sido divulgadas no sítio eletrônico da Autoridade.
A LGPD prevê, nos art. 18 e 20, uma ampla gama de direitos dos titulares de dados, dentre os quais podem ser destacados os seguintes:
As considerações da ANPD a respeito do vazamento de dados dos brasileiros podem ser consultadas em notícia disponível no nosso sítio eletrônico: https://www.gov.br/anpd/pt-br/assuntos/noticias/meus-dados-vazaram-e-agora.
No link indicado acima constam informações acerca das medidas que estão sendo adotadas no âmbito da ANPD sobre o assunto, bem como orientações aos titulares de dados.
Constituem crimes casos em que ocorrem fraudes com o propósito de prejudicar os titulares ou de obter recursos ou vantagens indevidas com a utilização de seus dados pessoais e devem ser investigados pelas autoridades policiais.
Situações comuns incluem, por exemplo, envio de boletos falsos, clonagem de cartões de crédito e de débito, realização de empréstimos e contratação de serviços. Também podem ser citadas invasões de contas privadas, tais como contas bancárias, contas de e-mails ou contas em plataformas sociais.
Nesses casos, é importante que o titular entre em contato com a instituição financeira ou a empresa prestadora do serviço para que a informe do ocorrido e, conforme o caso, para que sejam adotadas as medidas necessárias para diminuir ou eliminar os danos.
Ainda, a depender da situação, o titular deve formalizar denúncia, por meio de boletim de ocorrência, perante a autoridade policial competente para viabilizar a apuração e resguardar-se.
No que se refere à ANPD, conforme suas atribuições legais, o órgão não realiza especificamente investigação de crimes, mas de infrações administrativas, podendo aplicar aos infratores as sanções previstas na LGPD, a partir de 1º de agosto de 2021.
Caros Clientes,
Informamos que o atendimento via WhatsApp está temporariamente indisponível.
Pedimos desculpas por qualquer inconveniente que isso possa causar e agradecemos sua compreensão!
Solicitamos, por gentileza, que entrem em contato por e-mail: melomoreiraadvogados@gmail.com
Agradecemos sua compreensão e permanecemos à disposição.
Melo Moreira Advogados
Isso vai fechar em 20 segundos