Lei Geral de Proteção de Dados (LGPD)

24/06/2019

No dia 15 agosto de 2018 foi publicado no Diário Oficial da União (DOU) a Lei 13.709 (Lei Geral sobre a Proteção de Dados) que entrará em vigor, em sua totalidade, em dia 16 de agosto de 2020.

A lei está relacionada com o uso de dados pessoais, inclusive digitais, por pessoa física ou jurídica, e tem por objetivo proteger os direitos fundamentais de liberdade, de privacidade e o livre desenvolvimento de personalidade de pessoal física. A proteção se aplica a dados obtidos, tratados ou utilizados em território nacional, entretanto, não se aplica ao tratamento de dados pessoais realizado por pessoa física para fins exclusivamente particulares e não econômicos ou para fins jornalísticos ou artísticos, acadêmicos, de segurança pública, provenientes de fora do território nacional e que não sejam objeto de comunicação, etc.

No que se refere a utilização dos dados, estes somente deverão ser utilizados quando houver consentimento do titular e o cumprimento das obrigações pelo controlador dos mesmos (a que compete as decisões referentes ao tratamento de dados pessoais) e podem ser utilizados pela administração pública, para fins de estudos, em processos judicial, administrativo ou arbitral, proteção a vida, etc., tendo em vista que o titular possui acesso facilitado às informações sobre o tratamento de seus dados.

Em alguns casos específicos, como por exemplo da utilização de dados pessoais para estudos em saúde pública ou se especificamente requerido pelo titular dos mesmos, deve ocorrer a anonimização dos dados, que é a desassociação dos dados com seu titular, e desta forma será possível ver as informações de transações ou informações especificas mas não será possível identificar o indivíduo ou suas informações pessoais. Os dados anonimizados não serão considerados como dados pessoais para fins desta lei, ou seja, estes dados não estão sujeitos ao previsto na lei, exceto quando o processo de anonimização puder ser revertido com esforços razoáveis, para determinar a razoabilidade deve-se levar em conta fatores decisivos, tais como custo, tecnologia disponível e tempo de reversão do processo.

A lei se refere ainda ao tratamento de dados pessoais com fins mais específicos, como os chamados dados sensíveis (de origem racial ou étnica, convicção religiosa, opinião política, sobre a saúde ou a vida sexual, etc.) – estes só podem ser utilizados quando o titular consentir de forma específica e destacada, para finalidades específicas –  sobre os dados de crianças e adolescentes, onde a utilização desses deve sempre ser em busca do melhor interesse do menor e com autorização expressa de pelo menos um de seus pais ou responsável legal.

A transferência internacional de dados pessoais somente será permitida em alguns casos, como, por exemplo: for para países ou órgãos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto nesta lei; quando a transferência for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiros; quando a autoridade nacional autorizar a transferência; etc. A empresa com sede estrangeira situada no país será notificada e intimada de todos os atos processuais previstos nesta lei referente aos seus escritórios, bases etc. no Brasil instalados, desde que, os dados sejam obtidos em território nacional.

O poder público não pode transferir dados pessoais a entidades privadas, exceto em alguns casos específicos. Na maioria dos casos, o uso compartilhado de dados pessoais de entidade pública a empresa privada dependerá de consentimento do titular. O término do tratamento de dados pessoais ocorrerá quando a finalidade de seu uso for alcançada, houver fim do período de utilização, quando o titular revogar o direito de uso ou, por determinação da autoridade nacional e quando houver violação da lei.

O controlador deverá indicar um encarregado pelo tratamento de dados pessoais. No caso do controlador ou o operador que, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo e, ficam também sujeitos a advertência, multa simples, multa diária, e o bloqueio ou eliminação dos dados pessoais ao que se refere a infração, observando-se a gravidade e a natureza das infrações cometidas.  É relevante entender que o tratamento de dados pessoais será irregular quando não apenas deixar de observar a legislação, mas também quando não fornecer a segurança que o titular dele pode esperar.

Quanto ao órgão responsável pelo controle da proteção dos dados, este foi atribuído a Autoridade Nacional de Proteção de Dados – ANPD, que tem como objetivo zelar pela proteção dos dados, editar normas e procedimentos referentes a proteção dos dados, fiscalizar e aplicar sanções na hipótese de descumprimento da legislação entre outros.

LF Auditoria e Consultoria – Compartilhando Conhecimento.