Dados pessoais: O que a LGPD tem a ver com você?

Dados pessoais: O que a LGPD tem a ver com você?

Muito se fala sobre a Lei Geral de Proteção de Dados (dados pessoais) e talvez você não se mobilize por pensar “não entendo nada de lei”. Mas sabia que a LGPD tem a ver com você?

Desde que começamos a estudar sobre Direito e Tecnologia, a LGPD sempre foi um tema central. Vou explicar.

Nessa era em que estamos vivendo, de conectividade exponencial, a tecnologia se faz presente até mesmo quando não sabemos que ela está ali. E para que tudo isso funcione, imprescindível se faz o tratamento de dados e informações. Aliás, tudo acaba se baseando justamente nisso.

Acontece que alguns desses dados são meus. Outros seus. Enfim, são dados que dizem respeito a cada um de nós. São dados pessoais.

Afinal, o que são dados pessoais?

A tão falada Lei Geral de Proteção de Dados define dados pessoais da seguinte forma:

“informação relacionada a pessoa natural identificada ou identificável” (art. 5ª, inciso I – Lei 13.709/18).

Ou seja, o seu CPF, seu nome e sobrenome, seu RG, seu endereço, sua posição na empresa e quiçá a descrição de sua roupa em determinada hora e lugar. Tudo o que pode te identificar, é considerado como um dado pessoal.

E por que uma lei para proteger seus dados pessoais?

Eu sei que essa pergunta aparece pra você em algum momento, apareceu pra mim também. Afinal, em nossa cultura não é muito comum o zelo com nossos dados pessoais.

Na maioria das vezes pensamos ser inofensivo compartilha-los, tanto é que o fazemos com muita frequência: nas farmácias é direto, né?

A era digital à base de dados

E na internet sem se fala! Ora, quantas contas você tem ativas nas mais diversas redes sociais? Quantas contas de e-mail? Quantos e-books já baixou ou formulários que já preencheu?

Quanto sobre você é compartilhado todos os dias? Está disponível no chamado Big Data o lugar onde você mora, a rota que faz para chegar ao trabalho, as pessoas com as quais mais se relaciona, os produtos que está interessado em comprar…

Quanto anúncios você recebe por dia via qualquer meio online? Quantos deles não são “certeiros” quanto a algo que é de seu real interesse? Como será que “eles” sabem tanto sobre seu gosto, seus anseios, suas preferências e intenções? Bom, em grande medida, você conta tudo pra eles!

Cada ação que você tem no meio digital é rastreável. Desde o que você pesquisa no Google até o tipo de publicação que você curte, inclusive o tempo que você demora em determinados tipos de publicação.

Assusta, né? Eu sei. E quanto mais nos inteiramos sobre isso, mais nos impressionamos. Porque, de fato, é algo muito novo e que passamos a conviver de forma muito intensa e de maneira exponencial.

 O que a lei pretende fazer?

A lei pretende impor diretrizes para pessoas jurídicas (públicas e privadas) lidarem com dados de pessoas físicas. Basicamente, é isso. Sob pena de sanções de cunho financeiro.

Além de definir o que são dados pessoais, a lei protege também os dados pessoais sensíveis, que seriam os seguintes:

dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural; (art. 5ª, inciso II – Lei 13.709/18).

Uma das alternativas trazidas pela lei seria a anonimização dos dados, ou seja, a transcrição do dado de alguém de forma a desidentificá-lo da pessoa a que pertence. Ou seja, a informação é mantida, mas já não mais identificável a ninguém específico.

Por exemplo: ao invés de constar em meu banco de dados que Maria e João são casados e torcem para o Flamengo, eu mantenho a informação de que X casais na cidade de Juiz de Fora torcem para o Flamengo, sem manter qualquer rastro de que Maria e João são um desses casais.

O intuito é tratar o dado que pode ser super relevante para minha atividade econômica sem que eu esteja utilizando dados pessoais para tanto. Torna-se um dado anônimo.

Sobre o tratamento de dados pessoais

Por falar em tratamento de dados, essa regulamentação é um dos propósitos da lei, que o define como qualquer operação realizada com dados pessoais e dá mais de 18 exemplos.

Slide apresentado em 02 de outubro de 2019, em evento que levou o mesmo título deste artigo, proposto pela comissão de Direito, Inovação, Tencologia e Empreendedorismo da OAB/Juiz de Fora.

Em sendo toda e qualquer operação, a empresa inicia o tratamento (e, consequentemente sua responsabilidade) desde a coleta dos dados.

Assim, quando você preenche um formulário online com sua identificação ou fala o seu CPF na farmácia, você está entregando dados pessoais para determinada companhia e, a partir desse momento, ela já tem a responsabilidade sobre eles.

Outra preocupação da lei é deixar claro os princípios que devem orientar as atividades de tratamento de dados, tudo com o intuito de que os dados pessoais não sejam banalizados ou utilizados para fins escusos.

Todos são de extrema relevância e, em uma sociedade ética, talvez sequer precisem ser ditos, mas vou comentar sobre alguns:

  • Finalidade: as empresas apenas devem requerer dados propósitos legítimos, específicos, explícitos e informados ao titular.
  • Consentimento: o titular dos dados deve consentir com a coleta e tipo de tratamento aplicado a seus dados. E tal consentimento pode ser revisto pelo titular a qualquer tempo.
  • Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

E se a lei não for cumprida?

Se a lei não for cumprida, a autoridade nacional poderá adotar uma série de medidas, após oportunização de ampla defesa, quais sejam:

I – advertência, com indicação de prazo para adoção de medidas corretivas;
II – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
III – multa diária, observado o limite total a que se refere o inciso II;
IV – publicização da infração após devidamente apurada e confirmada a sua ocorrência;
V – bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
VI – eliminação dos dados pessoais a que se refere a infração;
X – suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador; 
XI – suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período; 
XII – proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

 O que eu devo fazer?

Todas as pessoas jurídicas precisarão se adequar porque, estando em desacordo com a lei, poderão sofrer essas sanções, além de possivelmente perder credibilidade em relação aos clientes, fornecedores, parceiros etc.

E, para se adequar, é preciso um time qualificado que inclui advogados e profissionais capacitados na área de Tecnologia da Informação.

Gostou do nosso artigo? Deixe seu comentário! Se desejar, entre em contato conosco para mais informações através de contato@bottimendes.com.br.

Quer acessar esse conteúdo em vídeo?

Deixe uma resposta