Lei, em vigor desde 18 de setembro de 2020, busca criar cenário de segurança jurídica
A Lei Geral de Proteção de Dados (LGPD), que regulamenta qualquer atividade que envolva a utilização de dados pessoais por pessoa natural ou jurídica, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural é muito associada aos meios digitais, mas não se limita a eles.
Aprovada em agosto de 2018, a lei 13.709 padroniza normas e práticas tendo em vista proteger os dados pessoais de todo cidadão que esteja no Brasil, de forma igualitária, dentro do país e em qualquer lugar do mundo.
São considerados dados pessoais quaisquer informações que permitam a identificação de um indivíduo vivo – do nome ao endereço de IP, e dados sensíveis, aqueles que identificam origem racial ou étnica, crenças religiosas, políticas, filiação sindical, genética, biometria, saúde e vida sexual do indivíduo. Dados sensíveis são um tema destacado nas discussões sobre a LGPD, já que a lei dedica atenção específica a eles e, também, aos dados de crianças e adolescentes.
Dados pessoais de crianças e adolescentes
Um dos pais, ao menos, ou o responsável legal deve dar consentimento para o tratamento de dados pessoais de crianças e adolescentes.
Anonimização dos dados
Na seara da Internet das Coisas e nas aplicações de inteligência artificial, por exemplo, os dados anonimizados são fundamentais. Referem-se a titulares que não possam ser identificados e cuja anonimização não possa ser revertida. Dados em tais condições não estão submetidos à aplicação da LGPD, salvo se utilizados para compor perfis comportamentais.
Embora as sanções administrativas somente passem a valer a partir de primeiro de agosto deste ano, a LGPD está em vigor desde setembro de 2020.
Sobre isso, entrevistamos o advogado e consultor em Compliance, David Figueiredo, Sócio da Bulldog Compliance.
David é Data Protection Officer (DPO) certificado pela EXIN, especialista em Prevenção à Lavagem de Dinheiro (CAMS®) certificado pela ACAMS, membro da ANPPD – Associação Nacional dos Profissionais de Privacidade de Dados, membro da ACAMS – Association of Certified Anti-Money Laundering Specialists, Master of Laws (LL.M.) em Direito dos Mercados Financeiro e de Capitais pelo INSPER e aluno do Doutorado (PhD) em Direito Constitucional na Universidad de Buenos Aires (UBA), com a Tese: “A Proteção de Dados Pessoais como Direito Fundamental no Mercosul”.
Bárbara Beraquet: Quais as origens da LGPD e quais têm sido os fatores que desafiam sua implantação completa?
Davi Figueiredo: A inspiração principal da LGPD, sem dúvida nenhuma, é a GDPR (General Data Protection Regulation ou Regulamento Geral sobre a Proteção de Dados, em português), que entrou em vigor em maio de 2018 e que se aplica ao Espaço Econômico Europeu, que por sua vez é composto pelos países integrantes da União Europeia e ainda Islândia, Liechtenstein e Noruega.
Muitas disposições da LGPD se assemelham às da GDPR, algumas, inclusive, até mais rigorosas, por assim dizer.
Em linhas gerais, assim como a legislação europeia, a LGPD tem como foco a proteção dos dados pessoais com a finalidade de assegurar o respeito aos direitos fundamentais de liberdade, privacidade e o pleno desenvolvimento da personalidade dos cidadãos brasileiros.
Afinal, se de um lado o tratamento de dados pessoais pode trazer benefícios, como, por exemplo, avanços em diagnósticos médicos, facilitação no deslocamento com aplicativos que monitoram o trânsito por geolocalização e até mesmo na hora de assistir um filme sugerido pela plataforma de streaming com base no perfil do assinante, de outro lado pode trazer riscos concretos à democracia (como se viu no caso da Cambridge Analytica nas campanhas de Trump e do Brexit), resultar em perseguições políticas por conta de gênero, etnia, religião, e outros diversos impactos danosos em um mundo que se baseia cada vez mais em algoritmos, como por exemplo, a exclusão de um processo seletivo para um emprego ou ainda consequências financeiras inesperadas.
Um exemplo clássico é quando informamos, sem parar para pensar, nosso CPF em uma farmácia. A farmácia pode até utilizar aqueles dados da compra de maneira legítima, para, por exemplo, identificar quais medicamentos são mais vendidos localmente ou em determinada filial e com isto otimizar seus processos de logística, diminuindo os custos de estoque. No entanto, a farmácia também pode compartilhar com determinada seguradora o perfil de consumo do cliente e com isto, conforme o histórico de medicamentos adquiridos, a empresa de seguros pode se recusar a aceitar aquele cliente como segurado ou então aumentar o valor do prêmio pago mensalmente.
Com a entrada em vigor da LGPD, o cidadão fica a salvo deste tipo de risco, com regras mais claras do que pode ou não ser feito com seus dados pessoais.
Traçando novamente um paralelo com os europeus, apesar da GDPR ter entrado em vigor em 2018, pelo menos desde 1995 eles contam com diretivas e normas sobre o tema e por isso já ganharam uma maior consciência e questionam quando lhe solicitam dados pessoais.
Por isso, acredito que o primeiro desafio é justamente dar início a um aculturamento, através de campanhas de comunicação e conscientização sobre o tema aos brasileiros.
Aliás, já podemos notar que a iniciativa privada começou a colocar no ar campanhas publicitárias que abordam a importância da privacidade, como é o caso de um dos maiores bancos do Brasil e de uma fabricante de smartphones.
São iniciativas muito bem-vindas e espero que se multipliquem na inspiração a outras empresas e ao próprio governo.
Bárbara Beraquet: Quais dados são o ponto focal da LGPD?
David Figueiredo: O primeiro aspecto que merece destaque é que a LGPD abrange dados pessoais tanto em suporte digital como físico.
Ou seja, além de arquivos armazenados em sistemas de informação, e-mails trocados, etc. a LGPD também envolve um cartão de visita, um post-it, um fichário em papel com dados pessoais.
E, claro, o ponto focal são os dados de pessoas físicas (ou pessoas naturais) e não de pessoas jurídicas.
Neste sentido, segundo a LGPD, dados pessoais são todas e quaisquer informações que direta ou indiretamente permitem a identificação de um indivíduo.
Diz-se identificação direta quando podem ser atribuídos diretamente a um indivíduo específico sem o uso de informações adicionais. Ou seja, uma única informação já revela quem é o titular daqueles dados pessoais, por exemplo RG, CPF, Foto, DNA e Impressão Digital.
E identificação indireta quando podem ser vinculados a um indivíduo específico usando informações adicionais. Ou seja, com aquela única informação ainda não é possível entender de quem se trata, porém com informações adicionais finalmente é revelado quem é o titular daqueles dados pessoais. Por exemplo, Placa de Carro, Endereço IP (internet), IMEI celular.
Dentro deste universo de dados pessoais, a LGPD traz ainda uma categoria especial, os denominados dados pessoais sensíveis, que são aqueles que o legislador entendeu que podem oferecer maior risco aos direitos fundamentais de liberdade, privacidade e o pleno desenvolvimento da personalidade dos cidadãos brasileiros e que, por isso, merecem um tratamento ainda mais rigoroso.
Assim, são considerados dados pessoais sensíveis:
· origem racial ou étnica;
· convicção religiosa;
· opinião política;
· filiação a sindicato ou à organização de caráter religioso, filosófico ou político;
· dado referente à saúde ou à vida sexual;
· dado genético ou biométrico (por exemplo, reconhecimento facial, digitais, voz);
Neste aspecto, vale ressaltar que a lei trouxe um rol taxativo, isto é, o que não está na lei não é considerado dado pessoal sensível.
Logo, ao contrário do que muitos acreditam, dados financeiros (como conta bancária, número de cartão de crédito) não são considerados dados pessoais sensíveis pela LGPD. São dados pessoais, é claro, quando revelam uma pessoa natural como titular, porém não se enquadram nesta categoria especial de dados pessoais sensíveis.
Bárbara Beraquet: Quais os entraves à aplicação integral da LGPD?
David Figueiredo: Além da questão do aculturamento dos cidadãos brasileiros como mencionei anteriormente, um dos pontos que acredito que ainda gera entraves é que a LGPD depende de regulamentações complementares, muitas delas a serem conduzidas pela Autoridade Nacional de Proteção de Dados (ANPD), que atua como órgão regulador e fiscalizador desta lei no Brasil.
Por exemplo, no artigo 41 da LGPD, existe a previsão quanto à obrigatoriedade da nomeação do denominado Encarregado pelo Tratamento de Dados Pessoais ou DPO – Data Protection Officer, esta última expressão utilizada mais comumente.
Isto pode impactar, sobretudo, organizações que não disponham de muitos recursos financeiros para adequação à lei sob este aspecto.
Ocorre que a própria LGPD prevê a possibilidade da ANPD dispensar a obrigatoriedade desta indicação, conforme a natureza e o porte da organização ou o volume de operações de tratamento de dados.
Mas, até agora, apesar de termos ciência que o assunto está sendo objeto de discussão e análise, inclusive com coletas de subsídios de partes interessadas (por exemplo, pequenas e médias empresas), não há nada definido a respeito.
E este é apenas um exemplo de tantos outros que dependem da atuação plena da ANPD.
Sem dúvida, cabe o registro que é louvável todo esforço que a ANPD já vem fazendo para estruturação do órgão, com a nomeação de presidente e corpo diretivo, publicação de Regimento Interno, entre outros tantos avanços, porém ainda há muito que deve ser feito e, o quanto antes, melhor.
Bárbara Beraquet: Embora as sanções administrativas só venham a ser aplicadas a partir de primeiro de agosto deste ano, a LGPD já está em vigor desde 18 de setembro de 2020. O que a LGPD trouxe de novo para a sociedade?
David Figueiredo: Na minha concepção, a LGPD é uma verdadeira revolução cultural.
Durante muito tempo, organizações públicas e privadas se enxergaram (equivocadamente) como as “donas” destes dados pessoais e assim, sem qualquer diretriz, usaram e abusaram destas informações a seu bel prazer.
A LGPD veio clarear quem é o efetivo e único titular destes dados pessoais: o indivíduo.
E que estas organizações devem adotar diversas medidas técnicas e organizacionais para a proteção destes dados e o respeito aos direitos dos seus titulares.
Usando um termo recorrente, enxergo como um empoderamento do cidadão, que passa a agir e ser respeitado como efetivo titular e com controle de seus dados pessoais, isto é, tem assegurado o que se denomina Autodeterminação Informativa.
E mesmo sob a ótica das organizações em si, a LGPD possibilita que, por exemplo, elas possam continuar ou até mesmo ampliar a oferta de produtos e serviços endereçados ao Espaço Econômico Europeu, pois a GDPR exige que os fornecedores/exportadores contêm em seus próprios países com legislação de proteção de dados pessoais compatíveis com a norma europeia.
Sem a LGPD, uma empresa brasileira que dependa da exportação ao mercado europeu poderia até mesmo ser obrigada a fechar as portas.
Portanto, entendo que a LGPD traz ganhos tanto para os cidadãos como para as próprias organizações.
Bárbara Beraquet: Como empresas e entidades podem se organizar, se ainda não, para adequação à LGPD?
David Figueiredo: O primeiro passo é entender que a LGPD se aplica a todas as organizações públicas e privadas, independentemente do setor, porte ou volume de operações de tratamento de dados pessoais.
A partir de então, realizar um diagnóstico, um mapeamento para identificar os tipos de dados pessoais e o fluxo (ciclo de vida) que estes seguem nos processos e atividades de negócios daquela organização.
Este diagnóstico, ao seu turno, permitirá à organização compreender o que deve ser criado ou ajustado para adequação à LGPD, definindo assim os respectivos planos de ação que deverão ser implementados com abordagem baseada em risco (ou seja, priorizando os pontos mais relevantes).
E esta jornada poderá ser conduzida por equipe multidisciplinar interna (caso a organização conte com recursos humanos disponíveis) ou por uma consultoria externa.
Mais do que um custo, as organizações devem enxergar como um investimento, pois é evidente que, na fase atual, aquelas que se mostrarem atentas à adequação à LGPD terão vantagem competitiva em comparação com aquelas que permanecerem inertes.
Entre um fornecedor adequado à LGPD e outro que não esteja, não tenha dúvida de que o cliente optará pelo primeiro.
Bárbara Beraquet: Para finalizar, você tem alguma recomendação literária ou cinematográfica sobre o tema?
David Figueiredo: Sim, recomendo que assistam o documentário Privacidade Hackeada (The Great Hack, 2019), que está disponível em plataforma de streaming. Acredito que, de maneira bem lúdica, é possível as pessoas ganharem ainda maior consciência sobre as consequências e a importância da proteção de seus dados pessoais.
Redação: Bárbara Beraquet
Revisão: Nádia Abilel de Melo