O que muda com a nova Lei de Dados Pessoais

Lei Federal 13.709/18
Proteção à privacidade

Assegurar o direito à privacidade e à proteção de dados pessoais dos usuários, por meio de práticas transparentes e seguras, garantindo direitos fundamentais.

Transparência

Estabelecer regras claras sobre tratamento de dados pessoais.

Desenvolvimento

Fomentar o desenvolvimento econômico e tecnológico.

Padronização de normas

Estabelecer regras únicas e harmônicas sobre tratamento de dados pessoais, por todos os agentes e controladores que fazem tratamento e coleta de dados.

Segurança jurídica

Fortalecer a segurança das relações jurídicas e a confiança do titular no tratamento de dados pessoais, garantindo a livre iniciativa, a livre concorrência e a defesa das relações comerciais e de consumo.

Favorecimento à concorrência

Promover a concorrência e a livre atividade econômica, inclusive com portabilidade de dados.

Abrangência da aplicação da LGPD

A LGPD regulamentará qualquer atividade que envolva utilização de dados pessoais, inclusive nos meios digitais, por pessoa natural ou jurídica, no território nacional ou em países onde estejam localizados os dados.

A lei se aplica extraterritorialmente?

Sim, nos seguintes casos:

  1. A operação de tratamento dos dados seja realizada no território nacional;
  2. A atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional;
  3. Os dados pessoais, objeto do tratamento, tenham sido coletados no território nacional.

São considerados dados pessoais coletados no território nacional, aqueles cuja coleta dos dados do titular ocorreu em território nacional.

O que são Dados Pessoais

Dado pessoal é todo aquele relacionado à pessoa natural identificada ou identificável (artigo 5º, I, da Lei 13.709/2018). Isso quer dizer: dados pessoais são todos aqueles que podem identificar uma pessoa – números, características pessoais, qualificação pessoal, dados genéticos etc.

Dados sensíveis

A lei também definiu alguns tipos de dados pessoais, como os dados sensíveis (artigo 5º, II, da Lei 13.709/2018). Trata-se de informações que podem ser utilizadas de forma discriminatória e, portanto, carecem de proteção especial. A lei define como dados sensíveis aqueles que implicam sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

Dados pessoais de crianças e adolescentes

O tratamento de dados pessoais de crianças deverá ser realizado com o consentimento específico por pelo menos um dos pais ou pelo responsável legal (art. 14, §1º). O controlador deve realizar todos os esforços razoáveis para verificar que o consentimento a que se refere o § 1º deste artigo foi dado pelo responsável pela criança, consideradas as tecnologias disponíveis (art. 14, §5º).

Dado pessoal anonimizado

É o dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento. (art. 5, III).Desta forma, estariam fora do escopo de aplicação da lei, à exceção se o processo de anonimização puder ser revertido ou se estes forem utilizados na formação de perfis comportamentais. Dados efetivamente anonimizados são essenciais para o funcionamento de tecnologias no campo da Internet das Coisas, inteligência artificial, machine learning, smart cities e análise de grandes contextos comportamentais.

Os titulares dos dados pessoais tiveram seus direitos ampliados e devem ser garantidos de forma acessível e eficaz. (art.18)

Principais direitos
  1. Confirmar a existência de tratamento de seus dados pessoais.
  2. Acessar seus dados pessoais.
  3. Corrigir dados pessoais incompletos, inexatos ou desatualizados.
  4. Anonimização, bloqueio ou eliminação de dados pessoais desnecessários, excessivos ou tratados em desconformidade com a LGPD.
  5. Portabilidade de dados pessoais a outro fornecedor de produto ou serviço.
  6. Eliminação de dados tratados com o seu consentimento.
  7. Obtenção de informações sobre as entidades públicas e privadas com as quais o controlador realizou o compartilhamento de dados pessoais.
  8. Obtenção de informações sobre a possibilidade de não consentir com o tratamento de dados pessoais e sobre as consequências da negativa.
  9. Revogação do consentimento dado para o tratamento de dados pessoais.
  10. Portabilidade dos dados (artigo 18, V), que, similar ao o que pode ser feito entre diferentes empresas de telefonia e bancos, permite ao titular não só requisitar uma cópia da integralidade dos seus dados, mas também que estes sejam fornecidos em um formato interoperável, que facilite a transferência destes para outros serviços, mesmo para concorrentes. Devido a sua natureza, este novo direito tem sido encarado como um forte elemento de competição entre diferentes empresas que oferecem serviços similares baseados no uso de dados pessoais.

Controlador e operador são os agentes de tratamento de dados pessoais, devendo manter registro das operações de tratamento que realizarem, especialmente quando baseadas em legítimo interesse (art. 37).

O operador deve realizar o tratamento de dados de acordo com as instruções fornecidas pelo controlador (art. 39). O controlador deve indicar o encarregado (DPO – Data Protection Officer) pelo tratamento de dados pessoais (art. 41). Conforme inovação trazida pela redação da Medida Provisória n.º 869/2018, o DPO pode ser pessoa física ou jurídica (nacional ou internacional), que atue como canal de comunicação entre o controlador e a ANPD e os titulares.

A identidade e as informações de contato do encarregado devem ser públicas, claras e objetivas, de preferência no site do controlador (art. 41, §1º); e o encarregado deverá aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; receber comunicações da autoridade nacional e adotar providências; orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares (art. 41, §2º).

Consentimento do titular

Atualmente, parte relevante da economia gira em torno da coleta, tratamento e comercialização de dados pessoais. Com a LGPD (art. 7º), no 1º inciso deste artigo, prevê-se que: [o tratamento de dados pessoais poderá ser realizado] mediante o fornecimento de consentimento pelo titular por escrito ou por outro meio que demonstre a manifestação de vontade do titular (art. 8°).

Isso significa que a pessoa autoriza o tratamento de determinados dados após ter recebido informações suficientes para formar sua opinião – quais as condições de tratamento? Há comercialização ou informação de dados para terceiros?

Alteração da informação

Em caso de alteração de informação, o controlador deverá informar ao titular, com destaque de forma específica do teor das alterações, podendo o titular, nos casos em que o seu consentimento é exigido, revogá-lo caso discorde da alteração (art. 8°, §6º).

Revogação

O consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação (art. 8°, §5º).

O tratamento de dados também poderá ser realizado para o cumprimento de obrigação legal ou regulatória noa seguintes casos:

  1. Pelo controlador (art. 7º, II);
  2. Pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres (art. 7º, III);
  3. Para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais (art. 7º, IV);
  4. Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados (art. 7º, V);
  5. Para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da lei de arbitragem (art. 7º, VI);
  6. Para a proteção da vida ou da incolumidade física do titular ou de terceiro (art. 7º, VII);
  7. Para a tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias (art. 7º, VIII).
Exceções

A LGPD incluiu duas hipóteses adicionais que autorizam o tratamento de dados pessoais, no artigo 7, IX e X. O tratamento de dados pessoais poderá ser realizado quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

Interesse legítimo

O conceito de “interesse legítimo” foi incluído no texto para autorizar determinadas situações nas quais o consentimento não precisaria ser emitido. São situações nas quais não é necessário perguntar ao cidadão ou cidadã se aquele tratamento pode ou não ser realizado, pois, segundo a lei, ele deve contemplar as suas “legítimas expectativas”.

Coibir fraude

Um exemplo é o uso de dados bancários dos clientes pelas próprias instituições bancárias, para coibir fraudes (como o seu perfil de gastos) sem que haja consentimento expresso do titular dos dados. É ônus do responsável demonstrar que está fazendo uso da hipótese de legítimo interesse de modo adequado e por meio do devido sopesamento entre seus interesses e os direitos dos titulares. Potenciais abusos poderão ser coibidos pelas autoridades responsáveis por zelar pela proteção de dados.

Proteção ao crédito

Com relação a última hipótese, a inclusão da coleta para proteção de crédito entre as exceções permite a coleta automática de informações para fins de proteção de crédito, para o chamado “cadastro positivo”, ou seja, manutenção de cadastros por empresas privadas que disponibilizam informações dos consumidores aos fornecedores de crédito.

Dados pessoais com acesso público

O Estado detém enormes bancos de dados pessoais, muitos deles formados a partir de informações fornecidas obrigatoriamente pelos cidadãos e cidadãs. A LGPD não faz menção À expressão “dados públicos”, mas sim a “dados pessoais cujo acesso é público” (§3º do art. 7º) – ou seja, dados cuja divulgação pública é obrigatória por lei, como por exemplo, o fato de alguém ser proprietário de um imóvel, sócio de uma empresa, ou os dados acerca das atividades de órgãos públicos.

Segundo a LGPD [o] tratamento de dados pessoais cujo acesso é público devem levar em consideração a finalidade, a boa-fé e o interesse público que justificam a sua disponibilização, sendo dispensada a exigência do consentimento de seu titular para os dados tornados manifestamente públicos pelo titular, resguardados os direitos do titular e os princípios pela LGPD.

Atualmente, uma série de funcionalidades e serviços são disponibilizados graças à possibilidade de armazenar, tratar e analisar enormes quantidades de dados de maneiras inovadoras – o chamado big data. A partir de tais capacidades de armazenamento, tratamento e análise de dados pessoais coletados a partir de nossos hábitos, torna-se plausível inferir tendências e traços de personalidade, predizer possíveis comportamentos e estabelecer perfis bastante detalhados de todos nós.

Processo automatizado

O desenvolvimento de ferramentas para realizar essas operações parece cada vez mais essencial para grande parte do setor de tecnologia da informação, razão pela qual o assunto foi intensamente tratado pela LGPD. O processamento automatizado de dados realizado por algoritmos é peça chave nesse quebra-cabeça. Algoritmos são formas de automatizar processos decisórios e estão por detrás de muitas coisas que acontecem também na Internet, como decidir qual anúncio será exibido para você ou quem é a próxima pessoa a aparecer em um aplicativo de relacionamentos. Por meio deles, a sua experiência de navegação pode mudar e, com isso, o seu acesso a determinadas informações, ofertas ou até mesmo oportunidades de emprego.

Critérios e procedimentos

Para lidar com essa questão, a LGPD prevê em seu art. 20 que titulares de dados pessoais (todos nós) podem solicitar a revisão das decisões automáticas quando estas afetarem seus interesses. Estabelece ainda uma obrigação ao responsável pelo tratamento de tais dados para que forneça, se solicitado, informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada. Segundo a lei, o responsável pelo tratamento de dados só não será obrigado a fornecer critérios e procedimentos que possam revelar segredos comerciais e industriais.

Conheça a íntegra do dispositivo

“Artigo 20: O titular dos dados tem direito a solicitar revisão, por pessoa natural, de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, inclusive de decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade.

§ 1º O controlador deverá fornecer, sempre que solicitadas, informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, observados os segredos comercial e industrial.

§ 2º Em caso de não oferecimento de informações de que trata o § 1º deste artigo baseado na observância de segredo comercial e industrial, a autoridade nacional poderá realizar auditoria para verificação de aspectos discriminatórios em tratamento automatizado de dados pessoais.”

Os direitos assegurados ao titular são bastante amplos, refletindo boa parte do modelo europeu de proteção de dados (Regulamento Geral de Proteção de Dados – GPDR). A tutela efetiva desses direitos essencialmente depende de uma autoridade de proteção de dados independente e com corpo técnico qualificado capaz de aplicar e interpretar a lei de modo equilibrado.

Do ponto de vista das empresas, é preciso considerar que pessoas têm diferentes preocupações sobre privacidade. Assim, as empresas devem seguir boas práticas de transparência e clareza quanto aos dados que coletam, de modo que o titular possa fazer suas próprias escolhas sobre como eles são utilizados, bem como, no caso de serviços online, oferecer ferramentas e configurações que permitam a implementação prática dessas escolhas feitas pelo titular.

Fiscalização de lei

A LGPD estabelece, em seu art. 53, atribuições de eventual órgão competente para zelar pela implementação e fiscalização da lei. Esse órgão deverá ser o responsável por elaborar, entre outras coisas, diretriz para uma Política Nacional de Proteção de Dados Pessoais e Privacidade e promover estudos sobre proteção de dados e privacidade.

No entanto, a criação da Autoridade Nacional de Proteção foi vetada pelo presidente da república, sob alegação de que a criação da autoridade pela LGPD teria um vício de iniciativa, já que ela veio de projeto de lei do Congresso Nacional e a casa legislativa não pode criar cargos no Poder Executivo.

Segurança e Sigilo

Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. (art. 46).

Padrões técnicos mínimos poderão ser definidos pela ANPD. Os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos nesta Lei e às demais normas regulamentares (art. 49).

Responsabilidades

Os diferentes agentes envolvidos no tratamento de dados – o controlador e o operador – podem ser solidariamente responsabilizados por incidentes de segurança da informação e/ou o uso indevido e não autorizado dos dados, ou pela não conformidade com a lei (artigo 42, §1º, I).

Todavia, a responsabilidade do operador, àquele que pratica o tratamento de dados em nome e a mando do controlador, pode ser limitada às suas obrigações contratuais e de segurança da informação, caso não viole as regras lhe impostas pela LGPD (artigo 43). Importante, portanto, definir se uma empresa deve ser encarada como um controlador ou um operador, ou ambos, para definir os limites da sua responsabilidade.

Notificação obrigatória

A ocorrência de incidentes de segurança da informação, devem ser notificados à Autoridade de Proteção de Dados e ao usuário titular do dado, em prazo razoável. Embora a Autoridade de Proteção de dados ainda não exista, enquanto ela não for criada, o usuário deve ser obrigatoriamente comunicado.

  1. A descrição da natureza dos dados pessoais afetados
  2. As informações sobre os titulares envolvidos
  3. A indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial
  4. Os riscos relacionados ao incidente
  5. Os motivos da demora, no caso de a comunicação não ter sido imediata
  6. As medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
Transferência internacional de dados

A LGPD traz uma série de hipóteses que permitem a transferência internacional de dados pessoais. Destaca-se a possibilidade de transferência baseada no consentimento específico do titular para a transferência, que deve ser prévio e separado das demais finalidades e requisições de consentimento. É possível, ainda, realizar a transferência caso haja a garantia, por meio de instrumento contratuais, do controlador no cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos na lei. Em moldes similares à GDPR, a lei permite a transferência por meio de adoção de selos, certificados e códigos de conduta regularmente emitidos e autorizados pela Autoridade Nacional.

Registro do tratamento

Toda e qualquer atividade de tratamento de dados pessoais deve ser registrada, desde a sua coleta até a sua exclusão, indicando quais tipos de dados pessoais serão coletados, a base legal que autoriza os seus usos, as suas finalidades, o tempo de retenção, as práticas de segurança de informação implementadas no armazenamento e com quem os dados podem ser eventualmente compartilhados, metodologia conhecida como data mapping.

Sanções e multas

Em caso de descumprimento da lei, a Autoridade Nacional poderá aplicar:

  1. Advertência, com indicação de prazo para adoção de medidas corretivas
  2. Multa simples, de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração
  3. Multa diária, observado o limite total a que se refere o inciso II
  4. Publicização da infração após devidamente apurada e confirmada a sua ocorrência
  5. Bloqueio dos dados pessoais a que se refere a infração até a sua regularização
  6. Eliminação dos dados pessoais a que se refere a infração

A LGPD terá grande impacto nas relações comerciais e de consumo que demandam coleta de dados, sobretudo diante da crescente tendência de tratamento de dados pessoais de clientes/consumidores com a finalidade de traçar seu perfil, identificando diversas informações, em especial hábitos de consumo e condições financeiras e de crédito.

Transferência e dados

A utilização dos dados pessoais deve estar relacionada ao negócio jurídico subjacente. Salvo em caso de comprovado interesse público, fica vedada a troca de informações entre varejistas e empresas especializadas em bancos de dados.

A regulação de dados pessoais trazida pela LGPD exige adequações por parte das empresas que coletam dados dos usuários, principalmente no que tange em relação ao consentimento expresso dos usuários sobre a coleta, tratamento de dados, finalidade e eventual transferência de seus dados para terceiros.

Relações Trabalhistas

Nas relações de trabalho e emprego, como o empregador é detentor de informações pessoais de seus empregados, ele deve observar a LGPD, sob pena de responsabilização civil.

Embora a LGPD autorize as empresas a usar os dados pessoais dos seus empregados e prestadores de serviços (art. 7°, V e IX) para a legítima execução dos contratos, em benefício do próprio trabalhador, é necessário cautela e observância às regras da LGPD em todas as suas fases, nos atos praticados antes da contratação, durante a vigência do contrato, nas terceirizações e após a rescisão dos contratos.

Na terceirização de serviços, é preciso obter consentimento dos empregados por escrito para que a empresa faça o tratamento dos seus dados, sobretudo quando for transmiti-los a terceiros (tomadores de serviço), em decorrência da atividade realizada, ou mesmo por exigências legais e contratuais, especificando de maneira clara quais dados serão repassados e para qual finalidade.

Além do consentimento do empregado, é recomendável que as empresas criem obrigações específicas em seus contratos comerciais, de acordo com as exigências impostas pela LGPD no tratamento de dados.

Período de transição e adaptação da lei (vacatio legis)

Com a Medida Provisória n.º 869/2018, a LGPD entrará em vigor no dia 29/12/2020. Ou seja, entidades públicas e privadas terão esse período para se adaptar.