A LGPD entrou em vigor no dia 18 de setembro de 2020. Já as sanções e multas administrativas sob responsabilidade da Autoridade Nacional de Proteção de Dados (ANPD), contudo, apenas poderão ser aplicadas a partir de 1º de agosto de 2021.
A quem se aplica? Qualquer negócio, seja pessoa física ou jurídica, de pessoas físicas residentes no Brasil ou coletados e tratados no nosso país.
Em quais condições? Sujeitam-se à LGPD todas as operações que envolvam o tratamento de dados pessoais realizadas no Brasil; que recaiam sobre dados pessoais aqui coletados; ou que envolvam a oferta de bens e serviços ou de indivíduos que se encontrem em território brasileiro.
É importante compreender que a LGPD não se aplica apenas ao tratamento de dados pessoais em meios digitais, ela também se aplica a qualquer operação de tratamento em meio físico, como, por exemplo, o recebimento, trânsito e guarda de currículos, informes, planilhas e cópias de documentos pessoais.
Exceções A LGPD não se aplica ao tratamento de dados pessoais realizados para fins particulares e não econômicos; dados exclusivamente jornalísticos, artísticos ou acadêmicos; dados exclusivamente de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais; e dados que não tenham nenhum contato com o Brasil em toda o fluxo de tratamento.
Agentes de tratamento A LGPD estabelece como agentes de tratamento dos dados pessoais as figuras do Controlador e do Operador, e ambos respondem pelo tratamento que realizam.
Controlador é aquele que possui relação direta com o titular e responsabiliza-se por atender aos seus requerimentos. Ele detém total ingerência sobre os dados tratados, indicando a forma, os meios utilizados e as bases legais que serão aplicadas a cada tratamento dos dados pessoais.
Já o Operador é quem executa o tratamento dos dados pessoais em nome do Controlador, de quem recebeu os dados e a quem se obriga a seguir todo o formato escolhido para o tratamento.
Princípios da lei A LGPD estabelece princípios que deverão ser observados sempre que houver tratamento de dados pessoais. São eles:
1. Finalidade: Os objetivos do tratamento de dados pessoais devem ser claros, legítimos, e por consequência específicos, sendo vedado o tratamento não direcionado;
2. Adequação: O tratamento deve ser adequado às necessidades informadas aos titulares;
3. Necessidade: Ligado aos princípios da finalidade e da adequação, este princípio nos orienta para que somente sejam tratados os dados pessoais estritamente necessários para atingir a finalidade pretendida;
4. Livre acesso: Quem realiza o tratamento de dados pessoais deve sempre promover fácil acesso desses aos seus titulares, incluindo rapidez e transparência na disponibilidade das informações;
5. Qualidade de dados: É uma obrigação daqueles que realizam o tratamento garantir que os dados pessoais sejam relevantes, exatos, claros e por consequência atualizados;
6. Transparência: Resguardados os segredos comercial e industrial, o titular deve ter acesso a informações claras, precisas e que respeitem o livre acesso aos seus dados pessoais;
7. Segurança: Devem ser utilizadas medidas técnicas e organizacionais não somente de forma preventiva, mas em todos os momentos da cadeia de tratamento de dados pessoais, evitando assim o tratamento não autorizado, independentemente do motivo;
8. Prevenção: O tratamento de dados pessoais deve sempre observar a adoção prévia de medidas que busquem evitar a ocorrência de vazamentos e outras ocorrências que possam lesar o titular ou terceiro;
9. Não discriminação: O tratamento jamais pode ser utilizado para os fins de promover atos discriminatórios ilícitos ou mesmo abusivos;
10. Responsabilização e prestação de contas: A parte que realiza o tratamento de dados pessoais deve estar apta a demonstrar a adoção de medidas eficazes e que comprovem a observância e o cumprimento das normas de proteção de dados.
Mas afinal, o que é o tratamento de dados pessoais? Para a LGPD, tratamento é toda operação realizada com dados pessoais, em meio físico, digital ou de qualquer outro ambiente possível, que se refira a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Quando os dados pessoais podem ser tratados? A LGPD estabeleceu 10 bases legais que permitem o tratamento de dados. São elas:
1. Consentimento;
2. Cumprimento de obrigação Legal ou regulatória do controlador;
3. Pelo poder público, para execução de políticas públicas;
4. Estudos por órgãos de pesquisa;
5. Execução de contrato ou realização de diligências pré-contratuais, desde que a pedido do titular;
6. Exercício regular de direitos em processo judicial, administrativo ou arbitral;
7. Proteção da vida e da incolumidade física;
8. Tutela da saúde;
9. Legítimo interesse do controlador ou de terceiros;
10. Proteção ao crédito.
Lembrando que o tratamento de dados pessoais sensíveis não pode ocorrer com base no legítimo interesse do controlador ou de terceiros.
Dados pessoais e dados pessoais sensíveis A LGPD define como dado pessoal todo e qualquer dado que identifique ou possa, de qualquer forma, levar à identificação de uma pessoa natural, que seja titular desses dados.
Por sua vez, dados pessoais sensíveis são dados pessoais que fazem referência a situações de cunho íntimo e que podem gerar danos irreparáveis (ou de complexa reparação) a seus titulares caso ocorra algum dano no tratamento. Assim, são considerados dados pessoais sensíveis, aqueles relacionados à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dados referentes à saúde ou à vida sexual, e os dados genéticos ou biométricos, quando vinculados a uma pessoa natural.
O titular de dados pessoais A figura central da LGPD é o titular dos dados pessoais, que é a pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.
Direitos do titular A pessoa que tem os seus dados tratados possui a possibilidade de ter livre e fácil acesso a seus dados pessoais, estejam onde estiverem, respeitadas as exceções da lei, principalmente quando esses dados estiverem vinculados a uma atividade de utilidade pública.
Além disso, a LGPD garante diversos direitos aos titulares, que agora podem:
1. Confirmar e acessar seus dados pessoais;
2. Requerer a correção de dados incompletos, inexatos ou desatualizados;
3. Solicitar a anonimização, bloqueio ou eliminação;
4. Requerer a portabilidade;
5. Revogar o consentimento que tenha dado para o tratamento;
6. Opor-se ao tratamento;
7. Solicitar explicações e a revisão de decisões tomadas de forma automatizada com base em seus dados pessoais.