LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS

maps-title

Por que devemos falar disso?

É cada vez mais comum vermos notícias sobre o vazamento de dados pessoais de clientes e consumidores de empresas, bancos, contas de e-mail e fotos. Até mesmo a última eleição presidencial americana foi marcada por um caso de utilização indevida de dados pessoais de usuários do Facebook pela empresa Cambridge Analítica. Após coletar informações como idade, região, sexo, escolaridade, religião e visão política, a Cambridge Analítica elaborou modelos de perfis de eleitores. Assim, conseguiu realizar ações de marketing direcionadas e com altas taxas de sucesso.

A coleta e utilização de dados pessoais de usuários e clientes sempre foi uma prática comum em empresas ao redor do mundo, seja para entender melhor seus clientes e suas necessidades ou para motivos não tão nobres, como enviar intermináveis e-mails de propaganda. Esta prática comum fere o direito universal à privacidade, pois utiliza dados pessoais sem o consentimento do proprietário.

Mas antes de entrar mais a fundo neste tema, vale a pena entendermos o que é privacidade e por que ela é tão importante. De acordo com o artigo 12 da Declaração Universal dos Direitos Humanos fica estabelecido que:

  “Ninguém será sujeito à interferência na sua vida privada, na sua família, no seu lar ou na sua correspondência, nem a ataque à sua honra e reputação. Todo ser humano tem direito à proteção da lei contra tais interferências ou ataques.”

Isso quer dizer, na prática, que ninguém poderá ter suas informações, fotos ou mesmo dados acessados, processados, excluídos ou armazenados sem o seu devido consentimento. O consentimento é a base da privacidade e uma das principais determinações que as novas legislações passam a exigir.

Na última década, as autoridades mundiais buscaram alternativas e soluções para o controle de privacidade de dados pessoais, criando leis e regulamentos para a utilização dos mesmos.

GDPR (General Data Protection Regulation)

A União Europeia foi pioneira no assunto, criando a primeira diretiva de proteção de dados em 1995. Em 25 de maio de 2018, esta diretiva foi cancelada com a entrada de um regulamento oficial para proteção de dados pessoais, conhecido como GDPR.

O GDPR ou, em português, RGPD (Regulamento Geral de Proteção de Dados), determina como devem ser tratados os dados pessoais de qualquer cidadão na União Europeia. Ele tem o poder de aplicação de multas que podem chegar a € 20 milhões, mesmo que em outros países como o Brasil.

Isso significa que uma empresa ou órgão Brasileiro que forneça serviços ou utilize dados de um cidadão da União Europeia deverá respeitar as diretrizes impostas pelo GDPR, ficando sujeita também a aplicação destas multas.

O objetivo do GDPR é garantir não só a privacidade de qualquer cidadão em solo europeu, mas também assegurar que empresas do velho continente somente realizem negócios com empresas que respeitem esses direitos à privacidade.

No Brasil

Aqui a discussão sobre privacidade e acesso a dados pessoais teve seu primeiro passo oficial em 2014, com a assinatura da Lei N° 12.965/14, o nosso Marco Civil da Internet, um avanço importante para uma legislação sobre transparência e privacidade.

Exemplos clássicos são os casos de atrizes famosas que ganharam notoriedade após cópias indevidas de fotos íntimas armazenadas em computador de uso próprio e que foram compartilhadas na internet. Neste cenário, foi sancionada a Lei Brasileira 12.737/2012, que tipifica delitos e crimes informáticos, além do o acesso e compartilhamento de informações sem autorização, podendo levar à detenção de um a três anos de prisão e multa.

Entretanto, apesar destas medidas isoladas, o Brasil ainda não possuía uma legislação geral de proteção de dados em consonância com outros países mais avançados sobre este assunto.

Lei Geral de Proteção de Dados Pessoais

Para isso, no último dia 14 de agosto de 2018, foi sancionada a Lei 13.708, que altera a Lei N° 12.965/14 e começa a valer em fevereiro de 2020, baseada nos mesmos princípios do GDPR.

Desta forma, empresas e também órgãos governamentais que coletem, processem ou armazenem dados pessoais deverão estar adaptados conforme as novas regras, ficando sujeitos às penalidades e multas previstas na lei que podem chegar a R$ 50 milhões.

A Lei Geral de Proteção de Dados Pessoais, ou LGPD, é um avanço importante nas medidas de proteção ao cidadão brasileiro e sua privacidade.

O que determina a LGPD

De acordo com a LGPD, em seu artigo primeiro: “Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.”

Em outras palavras, a LGPD estabelece regras que regulam toda e qualquer operação de tratamento de dados, independentemente se realizada por pessoas físicas ou jurídicas, no setor público ou privado.

Entenda os conceitos básico e a lei

TITULAR DE DADOS

Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.

TRATAMENTO

Toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

DADO PESSOAL

Qualquer informação que possa tornar uma pessoa identificada ou identificável.

DADO PESSOAL SENSÍVEL

Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou à organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

CONTROLADOR

Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais

OPERADOR

Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador

ENCARREGADO

Pessoa natural, indicada pelo controlador, que atua como canal de comunicação entre o controlador e os titulares e a autoridade nacional.

AUTORIDADE NACIONAL

Órgão da administração pública indireta responsável por zelar, implementar e fiscalizar o cumprimento desta Lei.

Foi vetada a criação da autoridade nacional ou ANPD, e neste momento está sendo estudado um projeto de lei para a criação da autoridade que deverá ser sancionado até fevereiro de 2020.

EXEMPLO PRÁTICO

De forma prática, podemos utilizar o seguinte exemplo:

Eu, Fernando, abro um chamado na Prefeitura para a poda de árvores na minha rua. Ao chegar no local, o responsável pelas podas solicita que eu preencha um formulário para avaliar o serviço realizado. Este formulário pede meu nome, telefone, idade, escolaridade, emprego, renda familiar, e-mail e etc.

Uma semana após a poda das árvores a prefeitura da minha cidade me encaminha um e-mail informando sobre uma campanha de vacinação. Na semana seguinte, recebo uma correspondência da prefeitura sobre um evento que será realizado no meu bairro.

A empresa de Mala Direta responsável pelo envio de e-mails e correspondências não possui uma política adequada de proteção de dados e um de seus funcionários, ao ser demitido, resolve apagar todos os dados coletados.

A partir desse exemplo, analisamos o caso sob alguns aspectos pela nova lei:

  • Eu, Fernando, sou TITULAR dos meus dados.
  • A Prefeitura é o CONTROLADOR.
  • A empresa de Mala Direta é o OPERADOR desses dados.
  • A Prefeitura, como pessoa jurídica de direito público, deverá nomear um ENCARREGADO, que será responsável pela criação, avaliação e processo de armazenamento e processamento dos dados

Sobre as regras

Ao realizar a poda e solicitar um formulário para avaliação do serviço realizado, o CONTROLADOR deverá ser específico no objetivo da coleta destas informações. Informar o prazo ou duração de tratamento destes dados, indicar quem será o responsável por eles e quem irá realizar qualquer operação sobre tais. Estas informações devem ser simples e claras e sempre ter um consentimento assinado pelo titular, no caso eu.

Se o formulário tem o objetivo EXCLUSIVAMENTE de avaliar o serviço realizado, não existem motivos ou justificativas para a coleta de
informações como telefone, idade, escolaridade, renda e e-mail. A coleta destas informações é permitida apenas se elas fizerem parte
do contexto do processamento, respeitando o legítimo interesse do CONTROLADOR.

A utilização dos meus dados para o envio de e-mails ou correspondências fere a LGPD, já que a prefeitura não possui minha autorização para uso de informações pessoais para esta finalidade.

O TITULAR dos dados tem direito ao esquecimento, ou seja, caso eu não queira ser incomodado ou não veja mais necessidade da utilização dos meus dados, poderei encaminhar um e-mail, fax ou, através de um sistema, solicitar a exclusão, portabilidade ou que meus dados sejam removidos e entregues para mim.

Ao ficar sabendo que o funcionário demitido apagou os dados da base, a empresa de Mala Direta tem a OBRIGAÇÃO de informar ao CONTROLADOR, ou seja, a prefeitura, sobre o ocorrido e o CONTROLADOR deverá, por meio de seu ENCARREGADO, informar a AUTORIDADE NACIONAL.

Mesmo que registrados em papel, os meus dados pessoais deverão ter tratamento e armazenamento adequados, bem como controle de acessos.

Caso descumpridas estas regras, a Autoridade Nacional poderá aplicar multas ao CONTROLADOR dos dados, neste caso a prefeitura.

Este exemplo serve apenas para ilustrar que alguns princípios básicos de segurança devem sempre ser seguidos. Mesmo que a análise das informações seja realizada por terceiros, o CONTROLADOR será o responsável.


Fernando Kauê Gomes Vieira dos Santos é DPO – Data Protection Officer na empresa Certsys Tecnologia da Informação, especialista de Privacidade e Proteção de Dados – Certificado em Privacy and Data Protection pela EXIN e Alison Institute, atuando nos últimos 8 anos com soluções de tecnologia e sistemas para área pública.

Posts Relacionados

Comentários