Por Lavinia Junqueira e Jonathan S. Mazon >
Com efeitos que passam a valer a partir de 16 de agosto de 2020, a Lei Geral de Proteção de Dados (LGPD – Lei nº 13.709/2018) tem como objetivo proteger o direito a liberdade, privacidade e intimidade, dignidade e cidadania dos indivíduos por meio do tratamento de dados pessoais, inclusive nos meios digitais.
Baseada na GDPR europeia (General Data Protection Regulation – Regulation EU 2016/679), que entrou em vigor em maio de 2018, a LGPD surgiu em agosto do mesmo ano e faz parte de um conjunto de normas que inclui o Marco Civil da Internet (Lei nº 12.965/2014) e o novo estatuto sobre direitos autorais (ainda não produzido).
A LGPD é aplicável às pessoas físicas e jurídicas que de alguma forma trabalham com dados pessoais que permitem a identificação das pessoas por trás daqueles dados, chamados indivíduos identificados ou identificáveis. Além de valer para empresas e pessoas estabelecidas no Brasil, a LGPD vale também com relação aos dados de brasileiros tratados em outros países e, da mesma forma, para empresas ou pessoas estabelecidas em outros países que pretendam tratar, no Brasil, tais informações.
A LGPD não se aplica ao tratamento de dados pessoais feito por pessoa física para fins particulares e não econômicos; realizado para fins jornalísticos, artísticos ou acadêmicos; executado para fins de segurança pública, defesa nacional e investigação ou repressão a infrações penais.
É importante notar que, para atender os requisitos da LGPD, as empresas ou indivíduos precisam obter o consentimento expresso das pessoas cujos dados pretendem utilizar, os chamados titulares. Esse consentimento pode ser dispensado caso o seu titular tenha tornado manifestamente públicos os dados em questão.
Exigem consentimento específico para finalidade claramente definida os casos dos chamados dados pessoais sensíveis, tais como aqueles ligados a aspectos étnicos, religiosos, de vida sexual ou biométricos, quando vinculados a um indivíduo. Exigem também cuidados especiais os casos de dados de crianças e adolescentes, que demandam esforços razoáveis para verificar se o consentimento foi dado por seu responsável.
Vale também ter em mente que, a qualquer tempo, o titular dos dados tem o direito de pedir acesso, correção, anonimização ou eliminação de dados, bem como revogar o consentimento para tratamento de seus dados pessoais. Essa revogação deverá ser pedida expressamente pelo titular dos dados e as empresas e indivíduos devem atender de forma gratuita e facilitada esse pedido.
Para aquelas empresas ou indivíduos que se utilizam de algoritmos e rotinas automatizadas, é relevante saber ainda que o titular dos dados tem direito a pedir revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade.
Duas obrigações adicionais para os que estão sujeitos à LGPD são a de manter registro das operações de tratamento de dados pessoais que realizarem e a de divulgar publicamente as informações de contato do encarregado pelo tratamento de dados pessoais. Essa pessoa será o ponto de contato para quaisquer assuntos relativos ao tratamento de dados pessoais, seja com os titulares de dados, seja com os órgãos governamentais.
O órgão governamental responsável poderá requisitar relatório com descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações, e análise com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.
Dano moral
Em casos de descumprimento, as empresas ou indivíduos serão obrigados a reparar dano patrimonial, moral, individual ou coletivo e, no processo civil, o juiz poderá inverter o ônus da prova em determinados casos. A própria pessoa titular dos dados poderá fazer denúncia para o órgão regulador e, na esfera administrativa, as multas por descumprimento poderão chegar a 2% do faturamento, limitadas a R$ 50 milhões por infração.
Existe, portanto, uma excelente oportunidade para que as empresas e indivíduos sujeitos à LGPD possam aprimorar seus processos e controles, e adotar as melhores práticas para proteção dos dados pessoais de seus clientes e colaboradores.
Importante notar que as multas por descumprimento serão reduzidas com base na existência de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados e para a adoção de política de boas práticas e governança.
VOLTAR
