Artigo - Lei Geral de Proteção de Dados Pessoais (LGPD) completa dois anos de existência: há motivos para comemorar?

Nascida em 14 de agosto de 2018, a Lei nº 13.709/18, conhecida como Lei Geral de Proteção de Dados (LGPD), completa, no dia de hoje, dois anos que foi sancionada. Antes de falar propriamente sobre a aniversariante, importante comentar o porquê de uma legislação destinada a cuidar da proteção de dados pessoais.

Não há dúvidas que o mundo está cada vez mais conectado. A vida online já é uma realidade: fazemos compras sem ter que ir a lojas físicas; lemos e nos informamos através de páginas na internet; pedimos comida através de aplicativos; usamos e-mail e mensageiros online para nos comunicar, inclusive com áudio e vídeo; os exemplos são infindáveis. Indo além, até quando se está offline — ou pelo menos com essa percepção — é progressivamente mais comum utilização de dispositivos eletrônicos junto corpo (wearables, ou dispositivos vestíveis); assistir TV através de uma Smart TV, logado à conta da Netflix, por exemplo; ou até mesmo ler e-books por meio de tablets. E há algo em comum a todos esses processos: dados são coletados e tratados!  

Vive-se a era da economia digital, cujo grande ativo e motor propulsor são os dados pessoais. Certa vez Clive Humby, um matemático e cientista de dados londrino e cientista, disse que “dados são o novo petróleo”. Ajay Banga, CEO da Mastercard, ao comentar a frase anterior, acrescentou um “singelo” detalhe, que o petróleo um dia irá acabar. Os dados, não. De fato, constantemente estamos fornecendo dados e o fluxo informacional cresce exponencialmente.   

Leis surgem para acompanhar as transformações sociais. Antes de inventarem os carros, por exemplo, não faria sentido imaginar uma legislação de trânsito. Igualmente, a legislação trabalhista só existe pois, em algum momento, houve a necessidade de regulamentar as relações de trabalho.

Nesse cenário, a LGPD surge com o objetivo de trazer segurança jurídica e proteção aos cidadãos quanto à forma que seus dados pessoais são utilizados e tratados pela inciativa privada e pelo Poder Público, a fim de resguardar os direitos fundamentais de liberdade, privacidade e o livre desenvolvimento da personalidade natural.

Esse movimento, e preocupação legal, não é exclusividade do Estado Brasileiro. Desde 2016 a União Europeia possui um Regulamento Geral de Proteção de Dados (RGPD). Ademais, um dos requisitos para ingressar na Organização para a Cooperação e Desenvolvimento Econômico (OCDE), uma das pretensões do governo brasileiro, é justamente que o país interessado possua uma legislação de proteção de dados.

Segundo a LGPD, dado pessoal é qualquer informação que identifique uma pessoa ou a torne identificável. Seu conceito é amplo e não se restringe aos números de identificação (e.g. CPF, RG, CNH), mas, sim, tudo que permita identificar alguém, como: geolocalização, hábitos de consumo, dados médicos, biometria, perfil comportamental, filiação sindical, religião, etc.

No tocante a sua aplicação a lei é igualmente ampla, não se limitando a dados pessoais coletados em meio digital, para abranger também em meio físico. Logo, ainda que determinada empresa não tenha seu negócio voltado para a internet, caso colete informações de pessoas físicas e armazene no seu banco de dados, por exemplo, ainda que em formato físico, estará sujeita a observar as disposições da LGPD. Nesse ponto, vale ressaltar que se a empresa tiver funcionários consequentemente tratará dados pessoais, pois necessitará armazenar e, eventualmente, até mesmo compartilhar tais informações (e.g. e-Social, contadores para elaboração de folha de pagamento, documentação para advogados no ajuizamento de ações trabalhistas, etc).

Acerca do conceito de tratamento de dados pessoais, a LGPD elenca várias operações. Para não citar todas, até mesmo porque não é pretensão deste texto dissecar toda a norma, destacamos: coleta, produção, recepção, utilização, acesso, transmissão, arquivamento, armazenamento, eliminação, modificação, transferência.

Alguns tratamentos não estão no escopo da lei, por exemplo, dados que não versem sobre pessoas naturais; que o tratamento seja realizado de forma particular e sem fim econômico por pessoa natural; com finalidade jornalística e artística, acadêmica, de segurança pública, defesa nacional, segurança do Estado; ou que provenham de fora do território nacional e não estejam submetidos à lei brasileira.

A LGPD apresenta bases legais que deverão justificar os tratamentos realizados com dados pessoais. Desse modo, qualquer operação de tratamento deverá estar legalmente fundamentada. Entre essas bases, que ao todo são dez, estão o consentimento fornecido pelo titular (i.e. a pessoa natural); o cumprimento de obrigação legal ou regulatória pelo controlador; pela administração pública quando necessário à execução de políticas públicas; quando necessário para execução de contrato ou procedimentos preliminares; quando necessário para atender aos legítimos interesses do controlador ou de terceiros; dentre outras.

A lei também cria a Autoridade Nacional de Proteção de Dados (ANPD), responsável por zelar, implementar e fiscalizar o cumprimento das normas estabelecidas. Sobre a sanções administrativas, essas variam desde advertência até multa que pode chegar até 2% do faturamento da organização no seu último exercício, limitada ao valor total de R$ 50.000.000,00 (cinquenta milhões de reais) por infração, podendo, ainda, haver a determinação do bloqueio ou eliminação dos dados pessoais a que corresponde a infração, e, até mesmo, a suspensão ou proibição do exercício de atividade relacionada a tratamento de dados.

Mas há motivos para comemorar? Sim, sem dúvidas! Ao estabelecer uma legislação de proteção de dados pessoais o Brasil acompanha movimento que é tendência internacional, sobretudo para o ingresso na OCDE, demonstrando zelo e preocupação com a privacidade e com os dados pessoais dos cidadãos frente a uma sociedade cada vez mais conectada e movida pela econômica digital, e que tem nos dados seu principal ativo econômico.

A lei confere ao titular o protagonismo de decisão sobre seus dados pessoais, conferindo-lhe direitos, por exemplo, de acesso, correção, portabilidade, eliminação e informação sobre seus dados; a revogação do consentimento a qualquer momento; e até mesmo a possibilidade de revisão de decisões tomadas unicamente com base em tratamentos automatizados.

Para as empresas e demais organizações, por se tratar, antes de tudo, de uma lei de governança e boas práticas, permite aos gestores a oportunidade de revisitar seus processos internos, readequá-los e otimizá-los. Não se trata “apenas” de cumprir a lei para evitar sanções, mas, sobretudo, passar imagem de credibilidade, confiança e segurança aos titulares de dado pessoal.

Em um mundo cuja economia digital tem nos dados pessoais seu grande ativo econômico, saber protegê-los e gerenciá-los conforme os preceitos da LGPD é, acima de tudo, diferencial competitivo e estratégico que ditará relações econômicas daqui pra frente. O futuro está mais presente do que imaginamos.

Breve comentário sobre a vigência da LGPD

A lei estava com vigência programada para o dia 16 de agosto deste ano. Contudo, em decorrência dos impactos causados pela pandemia da COVID-19, especialmente em virtude do isolamento social, surgiu a necessidade de prorrogação a fim de que as empresas e entes públicos pudessem cumprir seus programas de implementação, adequação e conformidade.

Por tal razão, foi proposto pelo Senador Antônio Anastasia (PSD/MG)  o PL nº 1.179, que dispôs sobre o Regime Jurídico Emergencial e Transitório das relações jurídicas de Direito Privado (RJET) no período da COVID-19, posteriormente convertido na Lei nº 14.010/20, ficando estabelecido que as sanções de natureza administrativa somente poderão ser aplicadas a partir de 1º de agosto de 2021.

Em paralelo, no dia 29 de abril de 2020 foi publicada a Medida Provisória nº 959/2020, que determinou que os demais dispositivos passariam a valer a partir de 03 de maio de 2021. Essa Medida Provisória foi prorrogada, mas acaso não seja apreciada pelo Congresso Nacional até o final deste mês caducará e perderá validade, logo, caso isto ocorra, à exceção das sanções administrativas, a LGPD entrará em vigor já no próximo dia 16 de agosto (domingo), circunstância que gera indefinições e falta de segurança jurídica. A única certeza é que a lei existe e cedo ou tarde estará em completa vigência e aplicação.

Marcelo Carvalho Pergentino é advogado, bacharel em direito pela Faculdade Baiana de Direito e pós-graduado em Direito Tributário em Ciências Criminais pela mesma instituição. Pós-graduando em Direito Digital e Compliance pela Damásio Educacional. Privacy and Data Protection Essentiaals (PDPE) certificado pela EXIN.
E-mail: [email protected]