Principais objetivos da nova lei
– Proteção à privacidade
Assegurar o direito à privacidade e à proteção de dados pessoais dos usuários, por meio de práticas transparentes e seguras, garantindo direitos fundamentais.
– Transparência
Estabelecer regras claras sobre tratamento de dados pessoais.
– Desenvolvimento
Fomentar o desenvolvimento econômico e tecnológico.
– Padronização de normas
Estabelecer regras únicas e harmônicas sobre tratamento de dados pessoais, por todos os agentes e controladores que fazem tratamento e coleta de dados.
– Segurança jurídica
Fortalecer a segurança das relações jurídicas e a confiança do titular no tratamento de dados pessoais, garantindo a livre iniciativa, a livre concorrência e a defesa das relações comerciais e de consumo.
– Favorecimento à concorrência
Promover a concorrência e a livre atividade econômica, inclusive com portabilidade de dados.
– Abrangência da aplicação da LGPD
A LGPD regulamentará qualquer atividade que envolva utilização de dados pessoais, inclusive nos meios digitais, por pessoa natural ou jurídica, no território nacional ou em países onde estejam localizados os dados.
– A lei se aplica extra territorialmente?
Sim, nos seguintes casos:
- A operação de tratamento dos dados seja realizada no território nacional;
- A atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional;
- Os dados pessoais, objeto do tratamento, tenham sido coletados no território nacional.
São considerados dados pessoais coletados no território nacional, aqueles cuja coleta dos dados do titular ocorreu em território nacional.
– O que são Dados Pessoais
Dado pessoal é todo aquele relacionado à pessoa natural identificada ou identificável (artigo 5º, I, da Lei 13.709/2018). Isso quer dizer: dados pessoais são todos aqueles que podem identificar uma pessoa – números, características pessoais, qualificação pessoal, dados genéticos etc.
– Dados sensíveis
A lei também definiu alguns tipos de dados pessoais, como os dados sensíveis (artigo 5º, II, da Lei 13.709/2018). Trata-se de informações que podem ser utilizadas de forma discriminatória e, portanto, carecem de proteção especial. A lei define como dados sensíveis aqueles que implicam sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
– Dados pessoais de crianças e adolescentes
O tratamento de dados pessoais de crianças deverá ser realizado com o consentimento específico por pelo menos um dos pais ou pelo responsável legal (art. 14, §1º). O controlador deve realizar todos os esforços razoáveis para verificar que o consentimento a que se refere o § 1º deste artigo foi dado pelo responsável pela criança, consideradas as tecnologias disponíveis (art. 14, §5º).
– Dado pessoal anonimizado
É o dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento. (art. 5, III). Desta forma, estariam fora do escopo de aplicação da lei, à exceção se o processo de anonimização puder ser revertido ou se estes forem utilizados na formação de perfis comportamentais. Dados efetivamente anonimizados são essenciais para o funcionamento de tecnologias no campo da Internet das Coisas, inteligência artificial, machine learning, smart cities e análise de grandes contextos comportamentais.
Direitos do titular dos dados
Os titulares dos dados pessoais tiveram seus direitos ampliados e devem ser garantidos de forma acessível e eficaz. (art.18)
Principais direitos
- Confirmar a existência de tratamento de seus dados pessoais.
- Acessar seus dados pessoais.
- Corrigir dados pessoais incompletos, inexatos ou desatualizados.
- Anonimização, bloqueio ou eliminação de dados pessoais desnecessários, excessivos ou tratados em desconformidade com a LGPD.
- Portabilidade de dados pessoais a outro fornecedor de produto ou serviço.
- Eliminação de dados tratados com o seu consentimento.
- Obtenção de informações sobre as entidades públicas e privadas com as quais o controlador realizou o compartilhamento de dados pessoais.
- Obtenção de informações sobre a possibilidade de não consentir com o tratamento de dados pessoais e sobre as consequências da negativa.
- Revogação do consentimento dado para o tratamento de dados pessoais.
- Portabilidade dos dados (artigo 18, V), que, similar ao que pode ser feito entre diferentes empresas de telefonia e bancos, permite ao titular não só requisitar uma cópia da integralidade dos seus dados, mas também que estes sejam fornecidos em um formato interoperável, que facilite a transferência destes para outros serviços, mesmo para concorrentes. Devido a sua natureza, este novo direito tem sido encarado como um forte elemento de competição entre diferentes empresas que oferecem serviços similares baseados no uso de dados pessoais.
Agentes e controladores
Controlador e operador são os agentes de tratamento de dados pessoais, devendo manter registro das operações de tratamento que realizarem, especialmente quando baseadas em legítimo interesse (art. 37).
O operador deve realizar o tratamento de dados de acordo com as instruções fornecidas pelo controlador (art. 39). O controlador deve indicar o encarregado (DPO – Data Protection Officer) pelo tratamento de dados pessoais (art. 41). Conforme inovação trazida pela redação da Medida Provisória n.º 869/2018, o DPO pode ser pessoa física ou jurídica (nacional ou internacional), que atue como canal de comunicação entre o controlador e a ANPD e os titulares.
A identidade e as informações de contato do encarregado devem ser públicas, claras e objetivas, de preferência no site do controlador (art. 41, §1º); e o encarregado deverá aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; receber comunicações da autoridade nacional e adotar providências; orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares (art. 41, §2º).
Consentimento do titular
Atualmente, parte relevante da economia gira em torno da coleta, tratamento e comercialização de dados pessoais. Com a LGPD (art. 7º), no 1º inciso deste artigo, prevê-se que: [o tratamento de dados pessoais poderá ser realizado] mediante o fornecimento de consentimento pelo titular por escrito ou por outro meio que demonstre a manifestação de vontade do titular (art. 8°).
Isso significa que a pessoa autoriza o tratamento de determinados dados após ter recebido informações suficientes para formar sua opinião – quais as condições de tratamento? Há comercialização ou informação de dados para terceiros?
Alteração da informação
Em caso de alteração de informação, o controlador deverá informar ao titular, com destaque de forma específica do teor das alterações, podendo o titular, nos casos em que o seu consentimento é exigido, revogá-lo caso discorde da alteração (art. 8°, §6º).
Revogação
O consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação (art. 8°, §5º).
Impacto sobre as empresas (Impacto sobre as políticas de privacidade das empresas)
A LGPD terá grande impacto nas relações comerciais e de consumo que demandam coleta de dados, sobretudo diante da crescente tendência de tratamento de dados pessoais de clientes/consumidores com a finalidade de traçar seu perfil, identificando diversas informações, em especial hábitos de consumo e condições financeiras e de crédito.
Transferência e dados
A utilização dos dados pessoais deve estar relacionada ao negócio jurídico subjacente. Salvo em caso de comprovado interesse público, fica vedada a troca de informações entre varejistas e empresas especializadas em bancos de dados.
A regulação de dados pessoais trazida pela LGPD exige adequações por parte das empresas que coletam dados dos usuários, principalmente no que tange em relação ao consentimento expresso dos usuários sobre a coleta, tratamento de dados, finalidade e eventual transferência de seus dados para terceiros.
Relações Trabalhistas
Nas relações de trabalho e emprego, como o empregador é detentor de informações pessoais de seus empregados, ele deve observar a LGPD, sob pena de responsabilização civil.
Embora a LGPD autorize as empresas a usar os dados pessoais dos seus empregados e prestadores de serviços (art. 7°, V e IX) para a legítima execução dos contratos, em benefício do próprio trabalhador, é necessário cautela e observância às regras da LGPD em todas as suas fases, nos atos praticados antes da contratação, durante a vigência do contrato, nas terceirizações e após a rescisão dos contratos.
Na terceirização de serviços, é preciso obter consentimento dos empregados por escrito para que a empresa faça o tratamento dos seus dados, sobretudo quando for transmiti-los a terceiros (tomadores de serviço), em decorrência da atividade realizada, ou mesmo por exigências legais e contratuais, especificando de maneira clara quais dados serão repassados e para qual finalidade.
Além do consentimento do empregado, é recomendável que as empresas criem obrigações específicas em seus contratos comerciais, de acordo com as exigências impostas pela LGPD no tratamento de dados.
Período de transição e adaptação da lei (vacatio legis)
Com a Medida Provisória n.º 869/2018, a LGPD entrará em vigor no dia 29/12/2020. Ou seja, entidades públicas e privadas terão esse período para se adaptar.
