O que muda com a LGPD?

Tema polêmico, a Lei Geral de Proteção de Dados (LGPD) foi sancionada em agosto de 2018 e começou a valer em setembro de 2020. Inspirada na GDPR europeia, a LGPD tem como principal objetivo a proteção de dados pessoais. 

Na prática, o intuito é garantir que haja consentimento do usuário ou cliente de que seus dados estão sendo coletados. Além disso, as empresas devem explicar qual é a finalidade dessa coleta, assim como deve garantir que as informações estarão seguras, a fim de evitar possíveis vazamentos. 

Dessa forma, a lei nº 13.709 se baseia nos seguintes fundamentos: 

I- Respeito à privacidade

Garantir o direito à privacidade e proteção de dados pessoais dos usuários através de práticas transparentes e seguras. 

II- A autodeterminação informativa

Assegurar ao indivíduo o direito de controle, ou ao menos pleno conhecimento, sobre a destinação dada aos dados pessoais, bem como as formas utilizadas para isso. 

III- A liberdade de expressão, de informação, de comunicação e de opinião

Ao se basear nos direitos básicos de informação, expressão, opinião e comunicação, o intuito é garantir que nenhuma interpretação da lei, mesmo que em prol da privacidade, impeça ou prejudique os direitos citados, acarretando em censura.  

IV- A inviolabilidade da intimidade, da honra e da imagem 

Também presente no art. 5º da Constituição Federal, busca impedir o compartilhamento de informações pessoais e íntimas sem o consentimento do indivíduo, ou seja, garantir o direito ao sigilo da vida privada.

V- O desenvolvimento econômico e tecnológico e a inovação

Garantir que a inovação, bem como o desenvolvimento econômico e tecnológico sejam pautados na segurança e confiabilidade dos dados. 

VI- A livre iniciativa, a livre concorrência e a defesa do consumidor

Fortalecer a segurança das relações jurídicas e evitar práticas abusivas de mercado.

VII- Os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais

Na prática, é garantir os direitos humanos universais dos cidadãos, conforme aponta a Constituição Federal.

É importante ressaltar que, atualmente, os dados pessoais são considerados informações valiosas. Isso porque através deles são identificadas preferências, estilo de vida, posicionamento ideológico e afins. Logo, o uso indevido ou malicioso pode ferir a privacidade e os direitos fundamentais do cidadão. 

Mas quais dados são esses?

Os dados pessoais são aqueles que possibilitam identificar alguém imediatamente, como o nome e CPF. No entanto, há também os dados identificáveis, que são a soma de informações que possibilitam identificar alguém. Por exemplo, ao receber a informação de endereço, como casa de número X, na rua Y, no bairro Z e na cidade W, é possível chegar à identificação da pessoa. 

Mas os dados não param por aí, segundo a lei, eles são categorizados da seguinte forma: 

Dado pessoal: conforme explicado, se trata de qualquer informação que seja capaz de especificar quem é determinada pessoa, seja de modo direto ou indireto, como a partir de nome completo, CPF e endereço. 

Dado pessoal sensível: como o nome supõe, são dados relacionados à esfera privada, que comumente não são revelados a qualquer pessoa. Por exemplo, opinião política, dado de saúde, convicção religiosa ou origem racial. 

Dado anonimizado: neste caso, o dado está fora da esfera pessoal, pois a anonimização faz com que o titular que os forneceu não seja identificado. Por isso, o dado anonimizado está fora do escopo de aplicação da lei, com exceção dos casos em que o processo de anonimização possa ser revertido, ou ainda se este for utilizado na formação de perfis comportamentais. 

Quem está sujeito à LGPD?

Se engana quem pensa que a lei se aplica somente às empresas de tecnologia, como redes sociais e aplicativos. A LGPD vale para qualquer instituição que obtém informações de seus clientes ou usuários, inclusive as farmácias que solicitam o CPF para aplicar desconto na compra. 

Ou seja, a Lei Geral de Proteção de Dados é válida em qualquer relação entre consumidores e fornecedores de serviços ou produtos, seja pessoa física ou jurídica. Da mesma forma, não importa o tamanho da empresa, a regra vale para todas que coletem dados. 

Também é importante ressaltar que a lei se aplica extraterritorialmente, portanto, ela é válida nos casos em que: 

1. A atividade de tratamento de dados é realizada no território nacional;
2. O tratamento tem como objetivo a oferta ou fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional;
3. Os dados pessoais, como objeto do tratamento, tenham sido coletados no território nacional.

Ainda para a lei, entende-se como tratamento

toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Direitos e deveres

Tendo isso em mente, a LGPD vem com o intuito de determinar como deve ser feito o tratamento dos dados. Ou seja, estabelecer parâmetros nas formas de coleta, armazenamento, processamento e eliminação dos dados. 

Dessa forma, as empresas devem levar em consideração dois aspectos, inicialmente: 

1. entender em qual formato ela se encaixa perante a lei e se está realizando tratamento de dados; 
2. se a resposta anterior for positiva, é preciso fornecer ao titular desses dados o termo de anuência, que nada mais é que solicitar ao usuário a permissão para coletar, armazenar e processar as informações compartilhadas. Na prática, esse termo de anuência deve constar na política de privacidade ou nos termos de uso.

A partir daí, o usuário também terá direito a:

• acessar seus dados pessoais;
• corrigir informações incompletas, erradas ou desatualizadas;
• anonimizar, bloquear ou excluir dados desnecessários, excessivos ou que não estejam em conformidade com a LGPD;
• revogar o consentimento para tratamento de suas informações;
• ser informado sobre as entidades públicas e privadas com as quais foi feito o compartilhamento de dados;
• ser avisado sobre a possibilidade de não fornecer consentimento e a consequência da negativa. 

Penalidades para empresas que violam a LGPD

Como dito inicialmente, o manuseio de dados é uma atividade delicada, principalmente quando tratamos de dados sensíveis. Por isso, a fiscalização é realizada pela Autoridade Nacional de Proteção de Dados, a ANPD. O órgão foi criado na própria LGPD para garantir que a lei seja cumprida, além de ser responsável pela aplicação das punições. 

As punições, por sua vez, variam de acordo o tipo de descumprimento, podendo ser: 

• divulgação pública da infração cometida pela empresa;
• multa de até 2% do faturamento, até o teto de R$50 milhões;
• multa diária, observando o limite total citado acima;
• advertência, com prazo determinado para correção do erro.

Essas são algumas das inúmeras mudanças previstas na LGPD. Para ficar por dentro de tudo o que passou a valer, é possível ler o documento completo no site do Planalto. 

Nós, da Siriguela Ventures, estamos sempre de olho nas boas práticas de privacidade e preservação dos dados. Tem alguma dúvida? É só falar com a gente!

VEJA MAIS: Você sabe o que é uma startup?