Há muitos anos se discute a possibilidade de desenvolvimento de uma Lei de Proteção de Dados no Brasil, o que seria necessário em razão do intenso e gradual desenvolvimento e acessibilidade da internet e do ambiente propiciado por ela para o surgimento de novos tipos de crimes.
Essa lei foi possível e está vigente desde 2018. Essa legislação foi nomeada como Lei Geral de Proteção de Dados (LGPD) e corresponde à Lei 13.709/2018. Ainda que tenha sido sancionada pela Presidência da República em agosto de 2018, pelo então presidente Michel Temer, possuía prazo de 18 meses para entrar em vigência.
Entenda abaixo quais são as principais previsões da Lei de Proteção de Dados que está vigente há 3 meses.
Lei de Proteção de Dados: Entenda a legislação
A Lei 13.709 de 14 de agosto de 2018 traz diversas e importantes previsões que influenciam os usuários de internet e, dentre eles, as empresas. Seu principal objetivo é conferir maior segurança no uso do conteúdo online e aos dados ali compartilhados.
Essa legislação, abarca todo o tratamento de dados pessoais por meios digitais que se dá no Brasil.
Principais conceitos trazidos pela Lei de Proteção de Dados
Primeiramente, para isso, houve a definição legal do que seria, exatamente, dado pessoal. Segundo ela, isso corresponde a todo tipo de informação relacionada à pessoa natural identificada ou identificável, ou seja, ao usuário.
Além disso, houve a definição também do que seriam os dados sensíveis e anônimos e, também, classificou os usuários e agentes envolvidos nas previsões.
Art. 5º Para os fins desta Lei, considera-se:
I – dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
II – dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
III – dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
IV – banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;
V – titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
VI – controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
VII – operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
VIII – encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
IX – agentes de tratamento: o controlador e o operador;
X – tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
XI – anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
XII – consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
XIII – bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados;
XIV – eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;
XV – transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;
XVI – uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;
XVII – relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;
XIX – autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.
Conceituada a noção de dados pessoais, a lei tratou de definir as possibilidades de uso deles por uma empresa, seja ela privada ou pública.
Para isso, estabeleceu-se que isso depende, necessariamente, do prévio consentimento do titular deles, ou seja, do usuário a quem eles se referem. Ainda, estabeleceu-se que as empresas públicas devem informar ao indivíduo o porquê da necessidade de uso dessas informações pessoais.
Também foram estabelecidas hipóteses em que esses dados possuem justificativa plausível para o uso.
Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
I – mediante o fornecimento de consentimento pelo titular;
II – para o cumprimento de obrigação legal ou regulatória pelo controlador;
III – pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;
IV – para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
V – quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
VI – para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ;
VII – para a proteção da vida ou da incolumidade física do titular ou de terceiro;
VIII – para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
IX – quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
X – para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
Por outro lado, é resguardado ao indivíduo, pela Lei de Proteção de Dados, o direito de retirar esse consentimento de uso de informações a qualquer hora.
§ 4º O consentimento deverá referir-se a finalidades determinadas, e as autorizações genéricas para o tratamento de dados pessoais serão nulas.
§ 5º O consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação, nos termos do inciso VI do caput do art. 18 desta Lei.
Outro ponto interessante da Lei de Proteção de Dados é que ela exige dos órgãos públicos a organização de dados de maneira padronizada, bem como o acesso a eles pelo cidadão.
Qualquer instituição privada ou órgão público envolvido no tratamento de dados pessoais será passível de punição. Isso pode se dar mediante o vazamento de dados, independentemente da ocorrência acidental ou não.
Dessa forma, é necessário que as empresas se adaptem à Lei de Proteção de Dados a fim de evitar punições ou, ainda, colocar em risco os dados de seus clientes.
Para tanto, é necessário não só o uso de um servidor seguro, mas também da atenção à necessidade de autorização do uso de dados, o que pode ser realizado com um termo de condições claro cedido no momento de contratação de serviços.
Veja também: Teletrabalho e Reforma Trabalhista: Entenda!
Gostou das dicas sobre proteção de dados? Deixe o seu comentário e compartilhe estas dicas em suas redes sociais! Siga-nos também no Instagram!