A Lei de Proteção de Dados pessoais sancionada no dia 14 de agosto de 2018 (LGPD ou Lei 13.709/18) é a primeira legislação específica sobre o tema no Brasil. Ela reproduz aspectos centrais da General Data Protection Regulation (GDPR), regulamentação Europeia que entrou em vigor no dia 25 de maio de 2018 e obrigou as empresas a realizarem alterações em sua forma de lidar com os dados pessoais dos usuários.
O texto recém-aprovado pela Presidência da República segue a tendência mundial de fortalecer a proteção dos dados pessoais suportada por toda uma segurança jurídica necessária frente às operações que envolvem o tratamento de nossos dados online.
O projeto de Lei de Proteção de Dados sancionado encarou alguns vetos, dos quais destaco dois artigos:
– A redação do art. 23, II impossibilitava o compartilhamento de dados pessoais no âmbito do Poder Público com pessoas jurídicas de Direito Privado. Ocorre que o compartilhamento de informações relacionadas às pessoas físicas identificadas ou identificáveis é medida essencial para o Estado exercer atividades de fiscalização, controle e políticas públicas. Ademais, acaso não houvesse a possibilidade em se compartilhar os dados pessoais entre o poder público e privado, o próprio poder de polícia administrativa do Estado poderia ser inviabilizado, a exemplo de investigações no âmbito do Sistema Financeiro Nacional;
– A redação do Art. 26, §1º, II, por sua vez exigia como critério objetivo para o compartilhamento de dados pessoais entre o Poder Público e entidades privadas a necessidade de se haver previsão legal e o respaldo em contratos, convênios ou instrumentos congêneres. As razões do veto do citado artigo da Lei de proteção de dados fora porque a exigência estabelecida no dispositivo legal inviabilizaria o funcionamento da Administração Pública, uma vez que diversos procedimentos encontram-se positivados em atos normativos infralegais, a exemplo do processamento da folha de pagamento dos servidores públicos em instituições financeiras privadas.
Importante mencionar também o veto mais importante da Lei de Proteção de Dados no que se refere à constituição da Autoridade Nacional de Proteção de Dados (ANPD) e do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade por vício de iniciativa. Afinal, a constituição dos respectivos órgãos reguladores caberia ao Poder Executivo e não ao Poder Legislativo.
Espera-se, portanto, que uma Medida Provisória ou Projeto de Lei seja editado em curto espaço de tempo para abordar a lacuna deixada pela Lei de Proteção de Dados.
A Lei de Proteção de Dados é um marco para o Brasil?
Pode-se dizer, sim, que a Lei de Proteção de Dados foi um marco na proteção ao titular dos dados, inclusive com a responsabilização objetiva dos agentes. Ou seja, a LGPD vai exigir cautela e cuidado por parte dos agentes de tratamento que se utilizam dos dados dos cidadãos. A questão, então, que merece ficar clara neste momento é a quem se aplica a Lei de Proteção de Dados.
LGPD e suas aplicações
A Lei de proteção de dados se aplica a qualquer agente (pessoa física, jurídica ou órgão público) que pratique tratamento de dados, nos termos do art. 1º da Lei 13.709/18, que diz:
“Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural”.
Isso quer dizer, por exemplo, que toda pessoa física ou jurídica de direito público ou privado que pratique tratamento de dados, termo definido no texto legal como sendo “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração” (art. 5, X), compreenderá desde o simples acesso aos dados de funcionários até diferentes áreas internas das empresas, como os setores de Marketing, Recursos Humanos, Tecnologia e Informação, Jurídico e Compliance.
Para saber mais sobre o assunto, confira o texto do colega Arthur Bobsin sobre compliance e a LGPD.
Tipos de dados e suas diferenças
Vale lembrar que com a nova Lei de proteção de dados é importante diferenciar os dados em duas partes:
– Dados pessoais: qualquer informação que se relacione a pessoa natural identificada ou identificável (art. 5º, I); e
– Dados sensíveis: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural (art. 5º, II);
Assim, a Lei de Proteção de Dados pessoais diz que o compartilhamento das informações dos cidadãos só será possível se houver consentimento explícito, inequívoco, livre, informado e por escrito ou outro meio idôneo que demonstre a manifestação da vontade do titular dos dados.
E, obviamente, por ter o usuário dado o seu consentimento para que os seus dados pessoais fossem tratados ou compartilhados com outras empresas, tal “consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação, nos termos do inciso VI do caput do art. 18 desta Lei” (art. 8º, § 5º).
Conclusão
Neste cenário, portanto, somente na prática seremos capazes de refletir o real alcance da Lei de Proteção de Dados. Vale ressaltar que a LGPD ainda não começou a produzir os seus efeitos, já que esta prevê um período de 18 meses a partir da data de sua publicação oficial (14/08/2018) para começar a valer.
Enquanto isso, fica a cargo das empresas brasileiras ou qualquer pessoa física ou jurídica de direito público ou privado que tratam dos dados de indivíduos no Brasil se adaptarem à nova realidade que virá no início de 2020.