I – Introdução
A Lei Geral de Proteção de Dados Pessoais (LGPD) – Lei nº 13.853, de 2019 – dispõe sobre a proteção e tratamento de dados pessoais no Brasil, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado.
Desde já, saliente-se que a multa por infração à LGPD pode chegar a R$ 50 milhões, de acordo com o art. 52, II, da LGDP. Eis um dos motivos de sua importância.
II – Definições
O artigo 5º define diversos termos da legislação. Conveniente transcrever alguns:
- dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
- dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
- controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
- operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
- encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
- agentes de tratamento: o controlador e o operador;
- tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
- consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
- relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.
III – Consentimento
Além da necessidade de cumprir requisitos para o tratamento de dados pessoais, é necessário, também, haver o consentimento, com algumas exceções.
O consentimento é um dos temas mais importantes da LGPD, trazendo bastante complexidade. Em razão disso, conveniente transcrever todo o artigo 8º, que trata do assunto:
“Art. 8º O consentimento previsto no inciso I do art. 7º desta Lei deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular.
§ 1º Caso o consentimento seja fornecido por escrito, esse deverá constar de cláusula destacada das demais cláusulas contratuais.
§ 2º Cabe ao controlador o ônus da prova de que o consentimento foi obtido em conformidade com o disposto nesta Lei.
§ 3º É vedado o tratamento de dados pessoais mediante vício de consentimento.
§ 4º O consentimento deverá referir-se a finalidades determinadas, e as autorizações genéricas para o tratamento de dados pessoais serão nulas.
§ 5º O consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação, nos termos do inciso VI do caput do art. 18 desta Lei.
§ 6º Em caso de alteração de informação referida nos incisos I, II, III ou V do art. 9º desta Lei, o controlador deverá informar ao titular, com destaque de forma específica do teor das alterações, podendo o titular, nos casos em que o seu consentimento é exigido, revogá-lo caso discorde da alteração”.
IV – Tratamento de dados pessoais sensíveis
O tratamento de dados pessoais sensíveis somente poderá ocorrer em determinadas hipóteses. A uma, quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas. A duas, sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para determinadas situações.
V – Acesso facilitado ao titular
O titular dos dados tem o direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva.
VI – Direitos do titular dos dados pessoais
O titular dos dados pessoais tem direito a obter do controlador, em relação aos seus dados tratados, a qualquer momento e mediante requisição, os direitos abaixo mencionados:
- confirmação da existência de tratamento;
- acesso aos dados;
- correção de dados incompletos, inexatos ou desatualizados;
- anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;
- portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
- eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei;
- informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
- informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
- revogação do consentimento, nos termos do § 5º do art. 8º desta Lei.
VII – Registro de Operações e do Relatório de Impacto
A LGPD determina que o controlador e o operador mantenham registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse.
A autoridade nacional poderá determinar ao controlador que providencie relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, atinente a suas operações de tratamento de dados.
VIII – Encarregado pelo Tratamento de Dados Pessoais (EDP)
Como exposto anteriormente, encarregado, para os efeitos da LGPD, é a pessoa indicada pelo controlador e operador, para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
A referida legislação determina que o controlador indique um encarregado pelo tratamento de dados pessoais.
No entanto, também prevê que a autoridade nacional poderá estabelecer normas complementares acerca da definição e das atribuições do EDP, inclusive hipóteses de dispensa da necessidade de sua indicação, de acordo com a natureza e o porte da entidade ou o volume de operações de tratamento de dados.
A identidade e as informações de contato do EDP deverão ser divulgadas publicamente, de forma clara e objetiva, de preferência, no site do controlador.
As atividades do encarregado estão previstas como sendo:
a) aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
b) receber comunicações da autoridade nacional e adotar providências;
c) orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
d) executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
IX – Responsabilidade e do Ressarcimento de Danos
Conforme o disposto no artigo 42, da LGDP, o controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar dano a outrem, de ordem patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.
Para que os agentes de tratamento não sejam responsabilizados, deverão provar:
I – que não realizaram o tratamento de dados pessoais que lhes é atribuído;
II – que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou
III – que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.
X – Tratamento de dados pessoais irregular
O tratamento de dados pessoais será considerado irregular quando não observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes, como:
I – o modo pelo qual é realizado;
II – o resultado e os riscos que razoavelmente dele se esperam;
III – as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado.
O controlador ou operador respondem pelos danos decorrentes da violação de segurança dos dados ao deixar de adotar as medidas de seguranças previstas na LGPD e der causa ao dano.
XI – Sanções Administrativas
Em caso de infrações cometidas às normas previstas na LGPD, os agentes de tratamento de dados ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:
- advertência, com indicação de prazo para adoção de medidas corretivas;
- multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
- multa diária, observado o limite total a que se refere o inciso II;
- publicização da infração após devidamente apurada e confirmada a sua ocorrência;
- bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
- eliminação dos dados pessoais a que se refere a infração;
- dentre outras sanções.
XII – Autoridade Nacional de Proteção de Dados (ANPD)
A Autoridade Nacional de Proteção de Dados (ANPD) é um órgão da administração pública federal, integrante da Presidência da República, sendo-lhe assegurada autonomia técnica e decisória, sendo composta de:
- Conselho Diretor, órgão máximo de direção;
- Conselho Nacional de Proteção de Dados Pessoais e da Privacidade;
- Corregedoria;
- Ouvidoria;
- Órgão de assessoramento jurídico próprio;
- Unidades administrativas e unidades especializadas necessárias à aplicação do disposto nesta Lei.
XIII – Conselho Nacional de Proteção de Dados Pessoais e da Privacidade
Por sua vez, o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade é composto de 23 representantes, titulares e suplentes, de diferentes órgãos.
Adriano Martins Pinheiro é advogado, com escritório sediado em Portugal e filial em São Paulo/SP, certificado em cursos de formação pelo Instituto de Emprego e Formação Profissional de Portugal, professor EAD e escritor | pinheiro@advocaciapinheiro.com
LGPD: Lei Geral de Proteção de Dados do Brasil | Capítulo por Capítulo
https://advocaciapinheiro.com/