A Lei Geral de Proteção de Dados (LGPD) regulamenta o tratamento de dados de pessoas físicas com finalidade econômica por parte das empresas públicas, privadas e até mesmo por pessoas físicas. A Lei n. 13.709/2018 começou a vigorar no dia 18 de setembro deste ano, e foi inspirada na Legislação Europeia que versa sobre o tema. Ela fornece as diretrizes de como os dados pessoais dos cidadãos podem ser coletados e tratados e altera a Lei 12.965/14, do Marco Civil da Internet.
Valores essenciais à proteção das pessoas fundamentam a legislação, que visa garantir o direito:
- à privacidade;
- à autodeterminação informativa;
- à liberdade de expressão, de informação, comunicação e de opinião;
- à inviolabilidade da intimidade, da honra e da imagem;
- ao desenvolvimento econômico e tecnológico e a inovação;
- à livre iniciativa, livre concorrência e defesa do consumidor;
- e aos direitos humanos de liberdade e dignidade das pessoas.
A LGPD apresenta novos conceitos jurídicos, e estabelece as condições sobre as quais os dados pessoais devem ser tratados. Aborda os direitos para os titulares dos dados, e estipula obrigações específicas para os controladores dos dados, criando regras e procedimentos que visam um maior cuidado no tratamento dos dados, bem como no compartilhamento com terceiros.
Agentes de Tratamento de Dados
A presente lei é responsável pela criação dos chamados Agentes de Tratamento de dados pessoais, nas figuras do controlador, operador e encarregado.
Ao controlador competem às decisões referentes à forma como os dados pessoais serão tratados, conforme preceitua o art. 5º, VI, da LGPD. Ele demanda o tratamento, podendo realizá-lo ou transferí-lo para um operador. O controlador tem autonomia e independência com relação a utilização dos dados pessoais, sendo autorizado a decidir sobre a finalidade do tratamento dos dados, a categoria de dados a serem coletados, o período de retenção, entre outras questões relacionadas diretamente com o tratamento dos dados.
Ele responderá pelos danos patrimoniais, morais, individuais ou coletivos, tal como violações à legislação (dever de reparação). O controlador também pode assumir, de forma solidária, os danos causados pelo operador, se estiver diretamente envolvido no tratamento que resultar em danos.
Por sua vez, cabe ao operador a realização do trato dos dados em nome do controlador (art. 5º, VII da LGPD), devendo seguir as diretrizes estipuladas pelo mesmo, tratando os dados de acordo com as políticas de privacidade e com o ordenamento jurídico. O operador responde pelos danos patrimoniais, morais, individuais ou coletivos, tal como violações à legislação (dever de reparação), assim como o controlador. Ele se responsabiliza solidariamente caso a legislação seja descumprida (equiparando-se ao controlador, caso não tenha seguido as instruções deste).
Não menos importante, o encarregado, conforme positivado no art. 5º VIII da Lei, é a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). O encarregado deve ser indicado pelo controlador.
A principal obrigação estabelecida para os Agentes de Tratamento é a de manter registros de todas as operações de tratamento. De modo geral, o objetivo da Lei Geral de Proteção de Dados é proteger o usuário do uso abusivo e indiscriminado dos seus dados por parte das instituições, públicas ou privadas.
Consentimento e informação
De acordo com a LGPD, o consentimento se define como a manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada. Isso posto, é necessário o consentimento de forma clara a atender às demandas sobre manutenção ou eliminação dos dados, ou seja, só poderá solicitar os dados necessários ao fim proposto. Dessa maneira, a lei permite que o usuário questione se a exigência realizada de determinado dado faz sentido em relação ao destino de uso.
A lei estabelece punição para casos de descumprimento. Primeiro as autoridades analisam o caso, a fim de identificar se houve de fato uma infração. Caso seja comprovada a transgressão, a LGPD estipula que o infrator poderá receber desde advertências até uma multa equivalente a 2% do seu faturamento (limitada ao valor máximo de R$ 50 milhões) conforme art. 52, II, da referida lei.
Como forma de atender os pedidos das empresas, as sanções por desobediência à LGPD só serão aplicadas a partir de agosto de 2021. Até lá, espera-se que a Autoridade Nacional de Proteção de Dados (ANPD) já esteja estruturada, uma vez que o órgão será responsável por regular a lei, elaborar instruções para o cumprimento das normas e fiscalizar a observância das mesmas.