Conceitos Gerais
A Lei Geral de Proteção de Dados foi sancionada em 2018, com alguns vetos. A respectiva lei trouxe uma nova abordagem cultural, com obrigações permanentes, sendo necessária a colaboração. Além disso, o texto normativo irá impactar diretamente a sociedade como um todo.
Vigência escalonada
Em 28 de dezembro de 2018, entraram em vigor alguns artigos referentes a constituição da Autoridade Nacional de Proteção de Dados.
Ocorre que, com a pandemia ocasionada pelo coronavírus, muito se discutiu sobre a viabilidade de se adicionar mais uma obrigação legal para cumprir em um período tão difícil, de modo que foi editada a MP 959/20 adiando a entrada em vigor da lei para maio de 2021.
Contudo, o Senado Federal não aprovou o artigo que estabelecia a prorrogação da vigência da LGPD. Assim, a Lei Geral de Proteção de Dados passou a vigorar em 18 de setembro de 2020, com exceção dos dispositivos que tratam sobre a aplicação de sanções administrativas.
As sanções administrativas entrarão em vigor a partir de agosto de 2021.
Escopo de aplicação
O art. 3° da LGPD dispõe o seguinte:
Art. 3º Esta Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados.
Em resumo, está sujeita a lei pessoa física ou jurídica, de direito público ou privado, independentemente do meio, do país de origem ou do país de localização dos dados.
Além disso, como dispõe os seguintes incisos presentes no art. 3°, é necessário observar alguns requisitos para aplicação do dispositivo, quais sejam:
I - a operação de tratamento seja realizada no território nacional;
II - a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou
III - os dados pessoais objeto do tratamento tenham sido coletados no território nacional.
Quando a LGPD não se aplica
O artigo 4º da LGPD apresenta casos nos quais a lei não se aplica. Vejamos:
Art. 4º Esta Lei não se aplica ao tratamento de dados pessoais:
I - realizado por pessoa natural para fins exclusivamente particulares e não econômicos;
II - realizado para fins exclusivamente:
a) jornalístico e artísticos; ou
b) acadêmicos, aplicando-se a esta hipótese os arts. 7º e 11 desta Lei;
III - realizado para fins exclusivos de:
a) segurança pública;
b) defesa nacional;
c) segurança do Estado; ou
d) atividades de investigação e repressão de infrações penais; ou
IV - provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta Lei.
Nos casos previstos pelo inciso III, o tratamento de dados pessoais deverá ser regido por legislação específica e deverá prever medidas proporcionais e estritamente necessárias ao interesse público. Ademais, os dados em questão apenas poderão ser tratados por uma pessoa jurídica de direito público. Nesses casos, a autoridade nacional solicitará dos responsáveis pelo tratamento dos dados relatórios de impacto à proteção de dados pessoais.
O inciso IV se refere à dados provenientes de fora do território nacional. Por exemplo: uma empresa alemã pede a uma empresa brasileira fazer um tratamento de dados pessoais de cidadãos alemães. Nesse caso, nenhuma das duas empresas precisará se sujeitar a LGPD, pois estarão tratando de dados de fora do território nacional. Contudo, há um requisito: a lei do país de proveniência dos dados deverá ser compatível ou o grau de proteção conferido pela lei brasileira. No exemplo em questão, a lei que vigora na Alemanha é a GDPR (General Data Protection Regulation). Tal legislação está presente em toda a União Europeia e é uma das melhores do mundo, tendo servido até mesmo como molde para legislações de outros países, como a LGPD, por exemplo. Logo, no exemplo, tanto a empresa alemã quanto a brasileira não precisarão se sujeitar a LGPD.
O que são Dados Pessoais?
A LGPD apresenta em seu artigo 5º, inciso I, o conceito da expressão "dado pessoal":
Art. 5º Para os fins desta Lei, considera-se:
I - dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
Conforme o texto da lei, os dados pessoais sempre estarão relacionados a uma pessoa física. Pessoas jurídicas, como as empresas, não possuem dados pessoais. Contudo, elas podem tratar de dados pessoais dos titulares envolvidos, como, por exemplo, os representantes legais, funcionários, parceiros e prestadores de serviços. Uma situação na qual uma empresa trata de dados pessoais é na folha de pagamento de um funcionário.
Além disso, pode ser um dado, como o CPF ou o número do telefone, ou um conjunto de dados que podem identificar uma pessoa. O que vai determinar se o dado é pessoal não é a quantidade, mas o contexto em que esses dados são tratados. Em alguns casos, as informações por si só não são específicas em relação a uma pessoa, mas, em conjunto, podem remeter a ela. Por exemplo: se mencionarmos os seguintes dados: homem, Presidente da República, ex-deputado federal por sete mandatos, capitão reformado. Essas informações não são específicas em relação a ninguém, mas poderão remeter ao atual Presidente do Brasil, Jair Bolsonaro.
Os dados pessoais não precisam estar necessariamente na Internet. Podem também ser obtidos "offline", ou seja, sem a utilização de ferramentas informatizadas. Por exemplo: uma lista de presença em eventos, lista de chamada escolar, entre outros.
Outro conceito relevante é o Profiling ou formação de perfis. Pessoas ou empresas que realizam o Profiling recolhem dados de pessoas a partir de fontes públicas ou privadas. Esses dados serão compilados para desenvolver perfis relativos às pessoas. Esses perfis são então vendidos para empresas, a fim de otimizarem seus métodos de vendas de acordo com as preferências captadas dos prospectivos clientes. A prática do Profiling demonstra que os dados pessoais das pessoas podem ser usados para incrementar os lucros das empresas.É essencial que exista uma lei que regule a utilização desses dados pessoais, a fim de proteger o direito à privacidade das pessoas.
O que são Dados Pessoais Sensíveis?
O conceito da expressão "dado pessoal sensível" se encontra no artigo 5º, inciso II, da LGPD:
Art. 5º Para os fins desta Lei, considera-se:
II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
Em síntese, os dados pessoais podem se tornar sensíveis após o processamento e análise, quando abordarem os tópicos mencionados pelo inciso supracitado. É interessante notar que o dado por si só não é sensível, mas pode tornar-se de acordo com as circunstâncias. Por exemplo: uma pessoa sempre compra alimentos próprios para diabéticos. Esses dados, armazenados na Big Data, podem ser coletados por uma determinada empresa, a qual irá deduzir o estado de saúde do indivíduo. A partir disso, a empresa vende essas informações para farmácias ou lojas de produtos alimentícios, as quais irão intensificar propagandas de medicamentos ou alimentos para diabéticos a essa pessoa. Note que a empresa se aproveitou de um dado de saúde do indivíduo para selecionar propagandas específicas para a pessoa, possibilitando então maiores chances de vendas.
O que são Dados Anonimizados?
A definição encontra-se no artigo 5º, inciso III, da LGPD:
Art. 5º Para os fins desta Lei, considera-se:
III - dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
Assim, os dados anonimizados são dados que perderam a possibilidade de identificar alguma pessoa. Visto que não é um dado pessoal, está fora do escopo da LGPD.
O legislador demonstrou na LGPD que é ideal que os dados sejam anonimizados, pois isso representa uma proteção ao titular. Há algumas técnicas que são utilizadas a fim de alcançar a anonimização dos dados, quais sejam:
a) Supressão: refere-se a remoção de uma sessão inteira dos dados ou de um registro no conjunto de dados.
b) Encobrimento: é uma alteração de caracteres num valor dos dados, usando, por exemplo, um símbolo constante, como o "*" ou o "x".
c) Generalização: é uma redução deliberada na precisão dos dados.
d) Troca, baralhamento ou permutação: trocar ou reorganizar os dados no conjunto de dados de tal forma que os valores dos atributos individuais ainda estejam apresentados no conjunto, mas geralmente não correspondem ao registro original.
e) Perturbação: os valores do conjunto de dados são modificados ligeiramente.
f) Dados sintéticos: gerar conjuntos de dados sintéticos diretamente e separá-los dos dados originais.
g) Agregação: converter um conjunto de dados de uma lista para valores resumidos.
h) Pseudoanonimização: é a substituição de dados identificadores com valores inventados.
No caso da Pseudoanonimização, os dados perdem a possibilidade de associação a um indivíduo. Quanto a esse aspecto, especifica o artigo 13, parágrafo 4º da LGPD:
Art. 13. § 4º Para os efeitos deste artigo, a pseudonimização é o tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro.
Quem é o Titular de Dados?
O artigo 5º, inciso V, apresenta essa definição. Observe:
Art. 5º Para os fins desta Lei, considera-se:
V - titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
O que compreende o Tratamento de Dados?
O tratamento de dados é um conceito abrangente. Inclui qualquer tipo de manipulação realizada com dados pessoais. O artigo 5º, inciso X, da LGPD apresenta uma lista de possibilidades:
Art. 5º Para os fins desta Lei, considera-se:
X - tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;