Tema polêmico, a Lei Geral de Proteção de Dados (LGPD) foi sancionada em agosto de 2018 e começou a valer em setembro de 2020. Inspirada na GDPR europeia, a LGPD tem como principal objetivo a proteção de dados pessoais.
Na prática, o intuito é garantir que haja consentimento do usuário ou cliente de que seus dados estão sendo coletados. Além disso, as empresas devem explicar qual é a finalidade dessa coleta, assim como deve garantir que as informações estarão seguras, a fim de evitar possíveis vazamentos.
Dessa forma, a lei nº 13.709 se baseia nos seguintes fundamentos:
I- Respeito à privacidade
Garantir o direito à privacidade e proteção de dados pessoais dos usuários através de práticas transparentes e seguras.
II- A autodeterminação informativa
Assegurar ao indivíduo o direito de controle, ou ao menos pleno conhecimento, sobre a destinação dada aos dados pessoais, bem como as formas utilizadas para isso.
III- A liberdade de expressão, de informação, de comunicação e de opinião
Ao se basear nos direitos básicos de informação, expressão, opinião e comunicação, o intuito é garantir que nenhuma interpretação da lei, mesmo que em prol da privacidade, impeça ou prejudique os direitos citados, acarretando em censura.
IV- A inviolabilidade da intimidade, da honra e da imagem
Também presente no art. 5º da Constituição Federal, busca impedir o compartilhamento de informações pessoais e íntimas sem o consentimento do indivíduo, ou seja, garantir o direito ao sigilo da vida privada.
V- O desenvolvimento econômico e tecnológico e a inovação
Garantir que a inovação, bem como o desenvolvimento econômico e tecnológico sejam pautados na segurança e confiabilidade dos dados.
VI- A livre iniciativa, a livre concorrência e a defesa do consumidor
Fortalecer a segurança das relações jurídicas e evitar práticas abusivas de mercado.
VII- Os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais
Na prática, é garantir os direitos humanos universais dos cidadãos, conforme aponta a Constituição Federal.
É importante ressaltar que, atualmente, os dados pessoais são considerados informações valiosas. Isso porque através deles são identificadas preferências, estilo de vida, posicionamento ideológico e afins. Logo, o uso indevido ou malicioso pode ferir a privacidade e os direitos fundamentais do cidadão.
Mas quais dados são esses?
Os dados pessoais são aqueles que possibilitam identificar alguém imediatamente, como o nome e CPF. No entanto, há também os dados identificáveis, que são a soma de informações que possibilitam identificar alguém. Por exemplo, ao receber a informação de endereço, como casa de número X, na rua Y, no bairro Z e na cidade W, é possível chegar à identificação da pessoa.
Mas os dados não param por aí, segundo a lei, eles são categorizados da seguinte forma:
Dado pessoal: conforme explicado, se trata de qualquer informação que seja capaz de especificar quem é determinada pessoa, seja de modo direto ou indireto, como a partir de nome completo, CPF e endereço.
Dado pessoal sensível: como o nome supõe, são dados relacionados à esfera privada, que comumente não são revelados a qualquer pessoa. Por exemplo, opinião política, dado de saúde, convicção religiosa ou origem racial.
Dado anonimizado: neste caso, o dado está fora da esfera pessoal, pois a anonimização faz com que o titular que os forneceu não seja identificado. Por isso, o dado anonimizado está fora do escopo de aplicação da lei, com exceção dos casos em que o processo de anonimização possa ser revertido, ou ainda se este for utilizado na formação de perfis comportamentais.
Quem está sujeito à LGPD?
Se engana quem pensa que a lei se aplica somente às empresas de tecnologia, como redes sociais e aplicativos. A LGPD vale para qualquer instituição que obtém informações de seus clientes ou usuários, inclusive as farmácias que solicitam o CPF para aplicar desconto na compra.
Ou seja, a Lei Geral de Proteção de Dados é válida em qualquer relação entre consumidores e fornecedores de serviços ou produtos, seja pessoa física ou jurídica. Da mesma forma, não importa o tamanho da empresa, a regra vale para todas que coletem dados.
Também é importante ressaltar que a lei se aplica extraterritorialmente, portanto, ela é válida nos casos em que:
- A atividade de tratamento de dados é realizada no território nacional;
- O tratamento tem como objetivo a oferta ou fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional;
- Os dados pessoais, como objeto do tratamento, tenham sido coletados no território nacional.
Ainda para a lei, entende-se como tratamento
toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Direitos e deveres
Tendo isso em mente, a LGPD vem com o intuito de determinar como deve ser feito o tratamento dos dados. Ou seja, estabelecer parâmetros nas formas de coleta, armazenamento, processamento e eliminação dos dados.
Dessa forma, as empresas devem levar em consideração dois aspectos, inicialmente:
- entender em qual formato ela se encaixa perante a lei e se está realizando tratamento de dados;
- se a resposta anterior for positiva, é preciso fornecer ao titular desses dados o termo de anuência, que nada mais é que solicitar ao usuário a permissão para coletar, armazenar e processar as informações compartilhadas. Na prática, esse termo de anuência deve constar na política de privacidade ou nos termos de uso.
A partir daí, o usuário também terá direito a:
- acessar seus dados pessoais;
- corrigir informações incompletas, erradas ou desatualizadas;
- anonimizar, bloquear ou excluir dados desnecessários, excessivos ou que não estejam em conformidade com a LGPD;
- revogar o consentimento para tratamento de suas informações;
- ser informado sobre as entidades públicas e privadas com as quais foi feito o compartilhamento de dados;
- ser avisado sobre a possibilidade de não fornecer consentimento e a consequência da negativa.
Penalidades para empresas que violam a LGPD
Como dito inicialmente, o manuseio de dados é uma atividade delicada, principalmente quando tratamos de dados sensíveis. Por isso, a fiscalização é realizada pela Autoridade Nacional de Proteção de Dados, a ANPD. O órgão foi criado na própria LGPD para garantir que a lei seja cumprida, além de ser responsável pela aplicação das punições.
As punições, por sua vez, variam de acordo o tipo de descumprimento, podendo ser:
- divulgação pública da infração cometida pela empresa;
- multa de até 2% do faturamento, até o teto de R$50 milhões;
- multa diária, observando o limite total citado acima;
- advertência, com prazo determinado para correção do erro.
Essas são algumas das inúmeras mudanças previstas na LGPD. Para ficar por dentro de tudo o que passou a valer, é possível ler o documento completo no site do Planalto.
Nós, da Siriguela Ventures, estamos sempre de olho nas boas práticas de privacidade e preservação dos dados. Tem alguma dúvida? É só falar com a gente!
VEJA MAIS: Você sabe o que é uma startup?