lei geral de proteção de dados

Nessa minha primeira colaboração para o blog do Capterra, tento descomplicar um pouco a tal da LGPD, da qual tanto se fala e que passa a valer em agosto de 2020. Vamos começar pela sopa de letrinhas: LGPD, de Lei Geral de Proteção de Dados.

Há dois pontos importantes nessa sigla para os quais gostaria de chamar a sua atenção: o primeiro é o “G” de Geral. Ele quer dizer que a lei se aplica a todos os setores da economia (empresas de internet e tecnologia são só a ponta do iceberg) e até mesmo ao governo. 

Empresas de todo os portes –inclusive as pequenas e médias– podem ser consideradas agentes de tratamento de dados (veremos abaixo o que isso quer dizer) e estarão sujeitas à lei. Os modelos de negócio B2C (de empresa para consumidor) tendem a lidar com maior volume de dados pessoais e devem estar ainda mais atentos às implicações da LGPD. 

Há multas e outras consequências pelo seu descumprimento, assunto de que trataremos em breve. O importante nesse momento é entender que o cenário de proteção de dados muda completamente no ano que vem: hoje, qualquer tratamento de dados pessoais é, em princípio, autorizado. A partir de agosto, só será considerada lícita uma operação de tratamento que tenha fundamento em uma das bases legais do artigo 7º da LGPD.  

Há outro ponto importante nessas quatro letrinhas: na verdade, deveria haver uma quinta letra na sigla, o “P”, de pessoais. A lei só se aplica ao tratamento de dados pessoais, ou seja, dados que possam identificar uma pessoa física, de carne e osso. Dados de pessoas jurídicas, por exemplo, estão fora do alcance da LGPD(P). Mas, afinal, o que quer dizer “tratamento de dados pessoais”?

Antes de mais nada, uma sugestão. O texto da lei está disponível no site do Congresso brasileiro. Proponho que você abra o link e vá até os artigos que mencionarei neste post para ver, na prática, o que parece teoria. À primeira vista vai parecer complicado, mas leis, apesar do vocabulário estranho, estão aí para serem lidas (e entendidas) por qualquer um. Ajudarei aqueles que se encorajarem, indicando alguns artigos específicos que vale a pena consultar.

Sigamos! 

O artigo 5º traz várias definições importantes, entre elas a de “dados pessoais” (qualquer dado que diga respeito a uma pessoa, o que vai do número do RG a uma fotografia, passando por informações financeiras, filiação política, endereço, orientação sexual, etc.). O mesmo artigo define “tratamento” com uma lista de 20 verbos diferentes (!) e ainda diz que são só exemplos.

Ou seja, virtualmente, tudo o que se pode fazer com um dado pessoal –coletar, compartilhar, armazenar, filtrar, etc.– é considerado tratamento e, portanto, está sujeito à lei.

Aquele que trata dados pessoais pode ser: 

  • um controlador – se tratar os dados para fins próprios
  • um operador – caso realize o tratamento de dados pessoais em benefício de outra empresa, essa, sim, o controlador 

Essas definições, e outras, estão no artigo 5º da LGPD –as que faço referência aqui estão nos incisos I, VI, VII e X.

O que não dá para não saber sobre a LGPD em cinco tópicos:

1. Base Legal

O ponto central da lei  –e a principal mudança que se observará a partir de agosto de 2020– é o seguinte: toda operação de tratamento de dados pessoais precisará estar casada com uma das justificativas previstas no artigo 7º.

A isso se chama base legal.

São dez bases legais possíveis. As que mais interessam ao setor de tecnologia são: 

  • consentimento (inciso I) 
  • cumprimento de obrigação legal ou regulatória (inciso II) 
  • cumprimento de contrato com o titular dos dados (inciso V) 
  • legítimo interesse (inciso IX)

2. Identificando a base legal

A primeira etapa do processo de adequação à LGPD é encontrar uma base legal para cada operação de tratamento realizada. Podemos pensar, por exemplo, em uma empresa que atua no segmento de software como serviço (SaaS na sigla em inglês) e que coleta dados dos usuários no momento da abertura da conta.

Será necessário identificar uma base legal para essa coleta (exemplo: cumprimento de contrato com o titular dos dados –art. 7º, V). Se essa mesma empresa compartilhar esses dados com um terceiro, isto é considerado outra atividade de tratamento e também precisa ter uma base legal específica (digamos, consentimento).  

3. Consentimento

As atividades de tratamento que se baseiam no consentimento precisam observar algumas regras específicas. Por exemplo, ele precisa ser “livre, informado, inequívoco e específico” (artigo 5º, XII) e pode ser revogado a qualquer momento (artigo 8º, parágrafo 5º).

4. Legítimo interesse

O legítimo interesse é uma saída interessante para quando não é viável obter o consentimento ou quando não há um contrato com o titular dos dados. Isso permite, por exemplo, que o Google trate dados pessoais em sua atividade de indexador.

Mas atenção: o tratamento de dados com base em legítimo interesse precisa observar as regras do artigo 10, não se aplica a dados sensíveis (definidos no art. 5º, II) ou dados de crianças e adolescentes. Implica também cuidados maiores, como a elaboração de um relatório de impacto que pode ser exigido pela futura autoridade nacional (o chamado relatório de impacto à proteção de dados ou LIA – legitimate interest assessment ). 

5. Princípios

Qualquer operação de tratamento deve seguir alguns princípios, que constam do artigo 6º da lei. Os mais importantes –vale consultar a lei aqui para entender o que cada um deles significa– são: 

  • finalidade
  • adequação
  • livre acesso
  • transparência
  • segurança
  • prevenção
  • não-discriminação

Esses “princípios” podem parecer teóricos, mas não são. É justamente isso, junto com a “base legal” sobre a qual falamos acima, que deve nortear a avaliação, pela futura autoridade nacional, sobre a legitimidade de cada atividade de tratamento.

Autoridade Nacional de Proteção de Dados e DPO

Também há vários pontos ainda indefinidos em relação à LGPD, inclusive a composição da futura Autoridade Nacional de Proteção de Dados. Além do “enforcement” (ou seja, verificar o cumprimento e impor penalidades), a autoridade terá o poder de regulamentar pontos que a lei deixou em aberto. 

Por exemplo, em princípio, todo agente de tratamento precisará indicar um “encarregado”, também chamado de DPO (d ata protection officer na sigla em inglês), para fazer a interface entre a empresa, a autoridade e os titulares de dados pessoais. É possível, porém, que a Autoridade dispense determinadas empresas dessa obrigação, por conta do tamanho e do volume das atividades de tratamento de dados por elas realizadas. 

Esse ponto interessa especialmente às PMEs, por conta do custo adicional que um DPO –caso a empresa decida contratar alguém externo para exercer esse papel– geraria. Mas isso é assunto para um próximo artigo.   

Há muito mais a falar sobre a LGPD, e isso só o começo. Prometo voltar aqui em breve, para conversarmos sobre outros pontos interessantes. Alguns deles: transferência internacional de dados, como LGDP e GDPR ( General Data Protection Regulation , a regulação europeia sobre o tema) dialogam entre si e no que consiste um programa de compliance de dados pessoais. 

Até breve!

foto Pedro Fonseca

Pedro Leal Fonseca é membro e co-fundador do Coletivo.adv.br, coletivo de advogados de negócio com sede em São Paulo. Presta consultoria jurídica a empresas de tecnologia (cloud, software, fintechs, plataformas de e-commerce e outras). Antes, liderou o departamento jurídico da Amazon no Brasil (2014-2018) e atuou em grandes escritórios de advocacia nas áreas empresarial, propriedade intelectual e fusões e aquisições.

Busca softwares que possam ajudar seu negócio a se adaptar a essas mudanças? Confira a lista ferramentas de TI do Capterra!