Geral

Desmistificando a Lei Geral de Proteção de Dados – LGPD

OUTROS ARTIGOS

Quase 30 pessoas e um monte de camisinhas

Como ganhar dinheiro na Internet?

Como trabalhar em casa?

Todo mundo já esteve numa daquelas conversas em que várias pessoas conhecem o tema, mas ninguém entra em detalhes ou parece ter fundamento para o que está afirmando. Sabe aquela conversa sobre dieta e emagrecimento? Onde sempre tem uma tia que fala do carboidrato à noite ou alguém diz que o negócio é fazer jejum intermitente e, por fim, sempre há a máxima de que tem que manter o equilíbrio – seja lá o que isso signifique naquele contexto?

Pois é, essa é a atual situação da LGPD no Brasil. Há muita gente falando sobre o assunto, muitos comentários, algumas conversas soltas sobre sua importância, algumas outras sobre seus possíveis impactos, um ou outro arriscando indicar o que se deve fazer – o coitado do consentimento já não aguenta mais ser erroneamente mencionado –, mas ninguém explica duma vez o que é esse negócio de LGPD, para que serve, como funciona, quais seus impactos e como se lida com isso de maneira adequada.

O que se verá a seguir, portanto, é uma tentativa de diminuir um pouco essas dúvidas, trazer mais clareza sobre a tal LGPD e indicar alguns possíveis caminhos para lidar com essa nova lei.

Bem, de início, LGPD é a sigla de Lei Geral de Proteção de Dados, a Lei 13.709/18. A LGPD é uma lei – pasmem! – de Proteção de Dados. Por mais óbvia que a afirmação pareça, ela é importante para destacar um dos primeiros pontos relevantes deste texto: a LGPD é uma lei de Proteção de Dados, mas Proteção de Dados não é (somente) a LGPD. Sim, há por aí muita confusão – talvez em razão da dimensão e relevância da nova lei – no sentido de que ao se falar em Proteção de Dados, trata-se exclusivamente da LGPD. Isso não é verdade.

Proteção de Dados é, na verdade, um nicho, um meio e, para seus profissionais, um ramo de atuação. Em Proteção de Dados – ou Privacidade como alguns costumam chamar traduzindo Privacy – há uma série de leis e regulamentações que tratam do tema. Tendo isso em mente, destaca-se para mais um ponto importantíssimo deste texto: a LGPD não é a única, tampouco a primeira, lei que aborda o tema de Privacidade e Proteção de Dados no Brasil. A saber, são várias as outras leis que tratam do assunto, como, por exemplo, o Marco Civil da Internet, nossa Constituição Federal e o tão conhecido Código de Defesa do Consumidor (o tal do cê-dê-cê).

Quer dizer que até mesmo aquele livreto que fica esquecido nas prateleiras dos estabelecimentos aborda o tema de Proteção de Dados?! Isso mesmo. Por que, então, todo esse alvoroço com a tal LGPD, se já tivemos antes leis que tratam do assunto? Bom, aqui se pode lembrar daquele meme: “o jeito que ela trata Proteção de Dados é diferente”.

Pois é, a LGPD ganhou toda essa atenção e está causando a movimentação que se tem visto em razão de uma abordagem inédita no Brasil. Acontece que as outras leis ou regulações que tratam do tema de Proteção de Dados o fazem de maneira tangencial, pontualmente abordando alguma questão de privacidade dentro de inúmeras outras questões referentes a outros temas – normalmente, privacidade é um objeto secundário nessas regulações. A LGPD é a primeira lei exclusivamente voltada à Proteção de Dados e que teve como intuito abordar Proteção de Dados em todas as esferas, por todos os meios possíveis, abrangendo todas as atividades de negócio e todos seus agentes.

Assim, a amplitude do escopo de aplicação da LGPD e sua especificidade é que a tornam tão relevante. É uma lei que se aplica a todo e qualquer meio e modelo de negócio, como se verá adiante.

Ainda, para que se possa entender melhor o porquê de a LGPD ser tão relevante, sendo que já existem leis que tratam desse mesmo tema no país, é preciso entender que as leis de Proteção de Dados no mundo todo mudaram bastante ao longo do tempo. Jamais seria o intuito deste texto traçar uma linha do tempo referente à regulação de Proteção de Dados no mundo – caso haja interesse, isso pode ser objeto de outro texto futuro, entretanto, será provavelmente o último sobre o tema por aqui, de tão chato. O que se pretende, portanto, é apenas explicar que houve, no mundo, um avanço nas leis e regulações de Privacidade e Proteção de Dados em razão do constante avanço tecnológico e das práticas de negócio, o que, por óbvio, ocasionou a necessidade de adequação das leis e da regulação à realidade presente dos negócio (o que nem sempre é feito em tempo hábil e de forma adequada).

Há décadas o mundo regula questões de Privacidade e Proteção de Dados de maneira similar à que hoje conhecemos, no entanto, por conta do referido avanço, adaptações foram feitas para que as leis migrassem de uma abordagem muito mais preocupada com o íntimo, com o confidencial e passassem a tratar da influência que o tratamento de dados pessoais pode ter na vida das pessoas e como essas pessoas podem gerenciar ou controlar esse tratamento (fala-se, por exemplo, em algo chamado autodeterminação informacional). O exemplo mais recente e, talvez, mais robusto de uma tentativa regulatória nesse sentido, é o chamado Regulamento Geral de Proteção de Dados Europeu, o RGPD – que serviu de inspiração para boa parte da LGPD.

O RGPD movimentou não só a União Europeia, mas o mundo, com sua vigência em 2018. Foram inúmeras as multinacionais que adequaram seus contratos, atualizaram políticas, modificaram e implementaram procedimentos, criaram cargos e assim por diante, também são muitas as notícias sobre sanções administrativas aplicadas às empresas por não cumprirem com suas determinações.

O motivo pelo qual o RGPD ser tão falado e conhecido no mundo e a LGPD estar sendo tão falada e conhecida no Brasil é aquele mesmo já mencionado: a abrangência de sua aplicação e a forma como tratam do tema. São regulações que exigem não só aquele ajuste básico na Política de Privacidade e meia dúzia de cláusulas em contratos, são regulações que, de fato, procuraram tratar do tema Privacidade e Proteção de Dados com detalhe, exigindo das empresas e de órgãos públicos adequações mais relevantes.

Pois bem, já deu para entender mais ou menos que esse negócio é diferenciado, mas o que a LGPD exige das empresas? O que significa exigir adequações mais relevantes? É o que se tentará demonstrar a seguir.

Numa tentativa de resumir a LGPD, pode-se dizer, em suma, que a LGPD estabelece um conjunto de regras, princípios, condições e obrigações, que devem ser observadas por quem trata dados pessoais dentro de seu escopo de aplicação – incluindo pessoas naturais e órgãos públicos, mas aqui limitaremos às empresas, para maior clareza – quando realizam tratamento de dados pessoais. Além disso, a LGPD estabelece direitos aos chamados titulares de dados (qualquer indivíduo) e traz condições para regulamentar a relação entre as empresas e os titulares de dados.

Para que se possa entender esse resumo acima, é importante conhecer alguns termos e conceitos.

Quando se fala de pessoa natural, empresas ou órgãos públicos que realizam tratamento de dados, trata-se do que se define, na lei, como agentes de tratamento, ou seja, quem está realizando alguma atividade de tratamento com os dados pessoais em questão (para os fins deste texto, as empresas). Esclarecendo, sim, uma pessoa natural pode ser qualificada como agente de tratamento e pode estar sujeita à LGPD, mas claro que não é o caso mais comum, normalmente, o foco está nas empresas. Acalmem-se, a lei não se aplica a tratamento realizado por pessoa natural para fins exclusivamente particulares e não econômicos (podem stalkear o pessoal à vontade).

Ok, mas o que é “tratamento de dados pessoais”? Tratamento de dados pessoais é toda e qualquer atividade realizada com dados pessoais, basicamente, qualquer verbo aplicável – armazenar, visualizar, acessar, compartilhar, utilizar, excluir, analisar, segregar e assim por diante. Sim, se há um simples armazenamento do dado pessoal, ainda que sem qualquer outro “uso”, há que se considerar como tratamento de dados pessoais.

Agora, o que é considerado um dado pessoal? Dado pessoal, de acordo com a definição da própria LGPD, é toda informação relacionada a uma pessoa natural identificada ou identificável. Essa última parte é um dos fatores que proporciona tanta abrangência de aplicação da LGPD. O fato de se considerar a possibilidade de identificação de uma pessoa (por meio daquela informação isolada ou em conjunto com outras) enseja que uma enorme variedade de informações seja considerada como dado pessoal. Por exemplo, um IP pode ser considerado dado pessoal, a geolocalização pode ser considerada dado pessoal e isso sempre dependerá do contexto. Essa é uma das grandes discussões no meio de Proteção de Dados e não é o intuito aqui abordar especificidades sobre isso, mas, é importante que se destaque que o conceito de dado pessoal fornecido pela LGPD (inspirada pelo modelo europeu) é um conceito abrangente, que tem por intuito envolver o máximo de informações possíveis dentro do que se entende como dado pessoal.

Bem, já se entendeu quem são os agentes de tratamento, o que é tratamento de dados pessoais e o que se entende por dado pessoal. Mas de quem são os dados pessoais? Quem é o tal “titular de dados”? Titular de dados pessoais diz respeito às pessoas físicas, todo e qualquer indivíduo é um titular de dados pessoais (você, sua mãe, pai, irmão, irmã, amigo, amiga e assim por diante).

Conhecidos esses termos e conceitos, é possível entender o porquê de todo o alvoroço em torno da LGPD. A LGPD é uma lei que se aplica a todo e qualquer negócio, sem exceção. Se o negócio envolve consumidores finais, os dados coletados para fins de cadastro, faturamento, cobrança, contatos e relacionamento, são todos considerados dados pessoais e todas as atividades realizadas para esses fins são consideradas tratamento de dados pessoais. Se o negócio só atua com PJ, mas possui funcionários, o tratamento dos dados dos funcionários está sujeito às condições estabelecidas pela LGPD. Sim, a LGPD não é uma lei de consumo, não diz respeito apenas ao tratamento de dados pessoais de consumidores, mas a todo e qualquer tratamento de dados pessoais, por exemplo, o tratamento de dados de empregados é uma das grandes preocupações das empresas que buscam lidar com esse tipo de lei. Se a empresa só atua com PJ e não possui funcionários (um empresário individual, por exemplo), ainda assim, provavelmente, haverá o tratamento de dados pessoais dos representantes e empregados dos clientes PJ.

Portanto, reitera-se, em maior ou menor grau, a LGPD é uma lei que se aplica a todo negócio! Daí a sua relevância e daí toda a movimentação no mercado. Pera lá, então a LGPD se aplica da mesma forma ao Facebook e à padaria da esquina aqui de casa? Isso mesmo, entretanto, é importante uma analogia com o Código de Defesa do Consumidor. O CDC é aplicável tanto a uma grande rede varejista quanto à lojinha de roupas da Dona Mirtes, em Santana, na Zona Norte de São Paulo, mas, convenhamos, a sua interpretação quando da aplicação à rede varejista é diferente da interpretação dada à sua aplicação à lojinha da Dona Mirtes. Isso também se dará com a LGPD, ou seja, em que pese seja aplicável a todos os negócios, como mencionado, cada caso exigirá a consideração do contexto, dimensão e circunstâncias.

Agora, o que, então, uma empresa deve fazer para lidar com a LGPD – ou, como muito se fala, se adequar à LGPD? É o que se abordará a seguir, entretanto, antes, é útil desmistificar alguns pontos e esclarecer algumas confusões que existem no meio.

Em primeiro lugar, não, a LGPD não é uma lei que proíbe o tratamento de dados, tampouco proíbe o marketing digital e afins. A LGPD, como dito, apenas estabelece algumas regras, condições e obrigações a serem observadas. Na verdade, a LGPD traz mais “justificativas” para as empresas fundamentarem seus tratamentos do que hoje existe no restante das leis.

Em seguida, não, a LGPD não exige que empresas solicitem autorização para todo e qualquer tratamento de dados pessoais. O consentimento (a tal autorização) é apenas uma das hipóteses trazidas pela lei para que uma empresa possa justificar seu tratamento, existem outras possibilidades, as quais não são hierarquicamente diferentes. Assim, reitera-se, o consentimento não é obrigatório para todo e qualquer tratamento de dados pessoais, é apenas uma das opções que a empresa possui à disposição, portanto, quando ouvirem ou lerem algo como “agora precisa pedir autorização do consumidor para usar os dados dele”, desconfiem.

Ainda, adequar-se à LGPD não é simplesmente atualizar sua Política de Privacidade. Sim, a LGPD exige transparência e impõe o dever de informar os tratamentos de dados realizados, mas a Política de Privacidade é apenas um dos instrumentos necessários para tal.

Um dos pontos trazidos pela LGPD é que as empresas precisam nomear o que se denominou Encarregado de Dados (ou só Encarregado), que nada mais é do que o responsável por intermediar a relação entre a empresa, os titulares e a Autoridade Nacional de Proteção de Dados. Na Europa, essa figura é chamada de Data Protection Officer (DPO) – mais chique, né? – e tem como função garantir o cumprimento da lei pela empresa. Na LGPD, ainda, há a possibilidade de a Autoridade Nacional de Proteção de Dados emitir diretrizes quanto à dispensa da nomeação de um Encarregado por empresas de pequeno porte, mas é algo ainda incerto. Basicamente, boa parte das empresas precisará nomear algum Encarregado e, esclarecendo, não precisa ser um funcionário, não há necessidade sequer de ser uma pessoa física, é possível contratar uma PJ para figurar como Encarregado de Dados.

Não, a LGPD não trata apenas de dados confidenciais, sigilosos ou íntimos. Como visto acima, qualquer informação pode ser considerada como dado pessoal a depender do contexto, portanto, mesmo dados públicos ou publicamente acessíveis podem ser considerados como dados pessoais. Há um erro comum em tratativas sobre a LGPD ao se considerar que, por uma informação ser pública (como algo publicado em uma rede social ou disponível em um processo judicial) pode ser tratada sem considerar a aplicação da LGPD – isso está errado! A LGPD também se aplica a dados pessoais públicos ou publicamente acessíveis.

Não, a LGPD não diz respeito apenas à Segurança da Informação. A garantia de um nível adequado de SI ao tratar os dados pessoais é, sim, um dos requisitos a serem cumpridos pelas empresas, mas Segurança da Informação é apenas um dos fatores envolvidos no cumprimento da LGPD. Segurança da Informação não é Proteção de Dados e Proteção de Dados não é Segurança da Informação, ambos se relacionam em vários sentidos, mas são áreas distintas.

Sim, o titular de dados pode acionar as empresas para exigir seus direitos. Alguns dos direitos trazidos pela LGPD são: acesso, exclusão, correção, revogação de consentimento, entre outros. Ou seja, o titular de dados, pode entrar em contato com a empresa para exigir que seus dados sejam excluídos, mas, cuidado, isso não significa que ele terá sua exigência atendida, a empresa analisará se, de fato, deve excluir ou não aquele dado (ela pode, por exemplo, precisar manter o dado para cumprir com uma obrigação legal ou regulatória). Um titular também pode solicitar acesso aos dados, ou seja, saber quais dados a empresa possui a seu respeito, para qual fim ela os trata, por quanto tempo, se compartilha com terceiros e assim por diante. Assim, é importantíssimo que a empresa esteja apta a receber, analisar e dar andamento a solicitações de titulares de dados (caso não o faça adequadamente, isso pode acabar se tornando uma demanda judicial ou administrativa contra a empresa).

Por fim, sim, empresas podem ser administrativamente sancionadas pela Autoridade Nacional de Proteção de Dados (criada pela lei e já instituída). Essas sanções podem variar desde multas e penalidades financeiras até a sanções mais drásticas como suspensão ou proibição da operação do banco de dados da empresa. Imagine ser proibido de tratar dados pessoais? É um impacto praticamente impossível de contornar. Agora, as sanções administrativas não são nem de longe os únicos problemas que um empresa pode enfrentar por não observar a LGPD e tratar de questões de Proteção de Dados adequadamente. Sem contar eventuais consequências que pode sofrer do próprio mercado, é possível que a empresa seja acionada judicialmente tanto por titulares como por entidades de representação de classe e mesmo por parceiros, clientes e fornecedores. Além disso, a empresa pode sofrer com danos à sua reputação, como em casos envolvendo grandes incidentes de segurança.

Assim, diante das informações acima e considerando a desmistificação de alguns pontos, resta saber: o que, então, uma empresa precisa fazer para lidar com a LGPD?

Bom, um caminho mais completo e bastante divulgado é o a condução do que se chama de Programa de Adequação e posterior manutenção de um Programa de Privacidade e Proteção de Dados. Esse é o caminho “ideal”, ainda que possa ser cheio de percalços e buracos, é o que há de mais completo e seguro para lidar com o assunto. Um Programa de Adequação, em tese, passa tradicionalmente por três grandes etapas:

  • Mapeamento de dados:

aqui a empresa entenderá todos os tratamento de dados que realiza, quais são os dados pessoais que possui, para que os utiliza, quem são os titulares envolvidos, com quem compartilha e assim por diante, para que compartilha e assim por diante. É uma verdadeira fotografia daquele momento da empresa com relação às suas atividades e processos envolvendo tratamento de dados pessoais;

  • Análise de riscos e plano de ação:

nesta etapa, são analisadas as informações coletadas no mapeamento e verificados pontos de atenção e eventuais adequações necessárias em documentos, processos e produtos. Ao final desta etapa, a empresa terá o que se chama de plano de ação, ou seja, o que é preciso ser feito para que a empresa possa cumprir com a LGPD; e

  • Implementação:

A terceira etapa é a fase em que a empresa implementará as medidas de adequação indicadas como necessárias pela segunda etapa. Nesta fase, variadas são as medidas possíveis, alguns exemplos envolvem revisão de contratos com fornecedores e parceiros, estabelecimento de políticas e comunicados (internos e externos), ajustes em processos internos, ajustes em sistemas, produtos e outros documentos, criação e implementação de novos processos, como um procedimento para atendimento aos requerimentos de titulares ou um procedimento para comunicação de um incidente de segurança (o famoso vazamento de dados), entre outras.

Ao final de um Programa de Adequação, em teoria, a empresa teria todos os instrumentos para manter um Programa de Privacidade e Proteção de Dados, atualizá-lo de tempos em tempos e, portanto, lidar com leis como LGPD de maneira muito mais eficiente.

Percebe-se que não se trata de algo simples e que possa ser feito de maneira improvisada. É um trabalho longo e custoso para muitas as empresas (daí todo o alvoroço em torno da LGPD). Agora, é importante destacar que não serão todas as empresas que possuirão recursos (financeiros e operacionais) para passar por uma adequação completa como essa, entretanto, para essas empresas, é aconselhável que não ignorem o tema completamente e o motivo é simples: o mercado cobrará. Há um erro comum com relação a isso, que é a sensação de que a LGPD diz respeito apenas às grandes corporações, que a autoridade não se preocupará com o pequeno. Pode até ser que a atuação da autoridade seja muito mais voltada às grandes e médias empresas, mas, não se pode esquecer o fato de que essas grandes e médias empresas, para estarem adequadas, precisarão garantir que seus parceiros e fornecedores cumpram com as condições mínimas da lei, assim, haverá uma cobrança pelo próprio mercado por adequação. Empresas que não observarem a LGPD podem se preparar para contratos que não conseguirão cumprir, demandas judiciais imputando a elas responsabilidades referentes à proteção de dados, concorrências que não conseguirão vencer e, não raro, para a perda de contas importantes ao seu negócio.

Assim, ainda que uma empresa menor não consiga despender todos os recursos para a condução de um Programa de Adequação e posterior manutenção de um Programa de Privacidade e Proteção de Dados, é importante que ela se preocupe ao menos em documentar suas atividades de tratamento, entender o que faz com dados pessoais em suas atividades, revisar eventuais documentos que possua (contratos, por exemplo), ajustar ou criar uma Política de Privacidade e outros mecanismos de transparência e assim por diante. Isso não só pode evitar problemas com clientes já existentes, como pode ser um diferencial de mercado em pouquíssimo tempo.

Pois bem, neste breve texto, buscou-se passar um panorama geral da LGPD, suas implicações e, principalmente, desmistificar alguns equívocos que são encontrados no mercado em razão da novidade do tema. Fato é que a LGPD é uma lei de enorme abrangência e seu conteúdo ainda será muito discutido nacionalmente, não só academicamente, mas judicialmente também. Ainda há muito a ser interpretado e muitas discussões surgirão, entretanto, uma coisa é certa: a LGPD é uma lei que estabeleceu uma nova realidade para a Proteção de Dados no Brasil e seus efeitos ainda estão em estado germinal.

Matheus Sturari

Advogado especialista em Contratos e Proteção de Dados, certificado pela International Association of Privacy Professionals (IAPP) como Certified Information Privacy Manager (CIPM). Atuou em Programas de Privacidade tanto como advogado in-house, como na forma de consultor e prestador de serviços. Tem experiência em Programas de dimensões variadas, atuando com empresas de variados portes, desde pequenas e médias empresas locais até empresas multinacionais de atuação global. Além disso, hoje presta suporte em proteção de dados a empresas variadas, por meio de consultas pontuais. Antes de atuar de maneira exclusiva com Proteção de Dados, era especialista em Contratos, tendo atuado com contratos de variadas complexidades.

Leia Mais

Utilizamos cookies e outras tecnologias semelhantes para melhorar a sua experiência em nossos serviços, personalizar publicidade e recomendar conteúdo de seu interesse em nossa plataforma e em serviços de terceiros. Ao navegar pelo site, você autoriza a empresa O Novo Mercado a coletar estes dados e utilizá-los para estes fins. Consulte nossa Política de Privacidade e Proteção de Dados e os Termos e Condições de Uso para mais detalhes.

ACEITAR