O Brasil passou a integrar o rol de países com legislações específicas para uso, proteção e compartilhamento de dados de seus cidadãos. Em vigor desde Setembro de 2020, a LGPD é um tema desconhecido ainda para grande parte das empresas e por isso sua adesão ainda é muito pequena.

A LGPD é a lei geral que estabelece os princípios e diretrizes fundamentais para a proteção de dados pessoais em todo o Brasil.
Iniciar a jornada da adequação à lei é essencial para se manter no mercado, já que todas as empresas que comercializam bens ou serviços, estão sujeitas à sanções e pesadas multas. Assim, realizar a adequação da empresa à nova lei, deve ser primordial à todas organizações.
A Lei nº 13.709/2018
A Lei nº 13.709/2018 – LGPD – Lei Geral de Proteção de Dados é a legislação brasileira que regula as atividades de tratamento de dados pessoais no país, visando proteger a privacidade e os direitos das pessoas em relação às suas informações pessoais. Ela foi promulgada em 2018 e entrou em vigor em setembro de 2020.
A LGPD foi projetada para estabelecer um conjunto de regras e princípios que são aplicáveis a todas as atividades de tratamento de dados pessoais, independentemente do contexto ou do setor em que ocorrem. Ela define os direitos dos titulares dos dados, as obrigações das organizações que tratam dados pessoais e os requisitos para garantir a privacidade e a segurança desses dados.
Objeto e Objetivo da Lei
A lei já abre seu texto, no artigo 1º, dizendo que o objeto da lei é o Tratamento de Dados Pessoais, nos meios físicos e inclusive digitais. Já na segunda parte do capítulo I , a lei fala que o Objetivo é proteger os direitos fundamentais dos titulares de dados. O direito fundamental de liberdade, de privacidade, livre desenvolvimento da personalidade e outros direitos.
Então o objetivo da lei é proteger única e exclusivamente a pessoa física, que é o titular de dados pessoais.
A LGPD busca proteger a privacidade das pessoas, garantindo que seus dados pessoais sejam tratados com responsabilidade e respeito. Ela delimita quando e como as empresas podem tratar dados, estabelece os direitos dos indivíduos sobre seus dados e padroniza critérios e requisitos que empresas e órgãos públicos deverão seguir para que haja maior cuidado com o tratamento de informações pessoais e seu compartilhamento com terceiros.
Aplicabilidade da LGPD
A LGPD foi projetada para ser abrangente e abordar questões relacionadas à proteção de dados pessoais em diferentes contextos, independentemente do setor em que uma organização atua.
O artigo 3º da LGPD, vem dizer que a lei aplica-se a qualquer operação de tratamento de dados realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que:
I – a operação de tratamento seja realizada no território nacional;
- II – a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou
- III – os dados pessoais objeto do tratamento tenham sido coletados no território nacional.
- 1º Consideram-se coletados no território nacional os dados pessoais cujo titular nele se encontre no momento da coleta.
ENTÃO A LGPD AFETA TODAS AS ORGANIZAÇÕES DO PAÍS, DE DIVERSOS SETORES E SERVIÇOS, INDEPENDENTE DO PORTE E TAMBÉM TODOS NÓS BRASILEIROS, SEJA COMO INDIVÍDUO, EMPRESA OU GOVERNO.
Ou seja, ela perpassa diferentes agentes econômicos no Brasil, do setor privado ao público e também do 3° Setor. Todos estão obrigados a seguir a lei.
Art. 3º Esta Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que:
- I – a operação de tratamento seja realizada no território nacional;
- II – a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou
- III – os dados pessoais objeto do tratamento tenham sido coletados no território nacional.
- § 1º Consideram-se coletados no território nacional os dados pessoais cujo titular nele se encontre no momento da coleta.
- § 2º Excetua-se do disposto no inciso I deste artigo o tratamento de dados previsto no inciso IV do caput do art. 4º desta Lei.
A LGPD não protege todo e qualquer tipo de dado, mas somente os definidos no art. 5º como pessoais.
Art. 5º Para os fins desta Lei, considera-se:
I- dado pessoal: Informação relacionada a pessoa natural identificada ou identificável.
Ou seja, qualquer informação relativa a uma pessoa que possa ser identificada, direta ou indiretamente, como nome, número de identificação, dados de localização, identidade genética, como tipo sanguíneo, fisiológica como tamanho do sapato, mental como opiniões sobre a pessoa, econômica como conta bancária, cultural, social daquela pessoa natural. Para que as informações sejam dados pessoais, elas não precisam ser verdadeiras ou comprovadas. Mentiras ou dados incorretos podem ser considerados dados pessoais. O conceito de dados pessoais inclui informações disponíveis em qualquer forma: texto, figuras, gráficos, fotografias, vídeo, áudio ou qualquer outra forma possível, e não se limita a informações que possam ser consideradas prejudiciais à vida privada e familiar do indivíduo.
Pessoa Natural
Juridicamente, uma pessoa natural é um ser humano, um indivíduo capaz de assumir obrigações e de ter direitos. Portanto, a princípio, a LGPD não se aplica a pessoas falecidas. Nesse caso, falamos do direito à honra e institutos presentes no Código Civil brasileiro.
Conceito Expansionista de Dado Pessoal
A lei adota um conceito expansionista, quando diz que um dado que tenha o potencial de identificar um titular de dados indiretamente, também deve ser protegido. Ou seja, aqueles dados que não estão diretamente ligados à pessoa, mas indiretamente é possível chegar à ela, à partir de cruzamento de dados, por processamento ou por meio de sistema de informação, também deve ser protegido.
Exemplo de Dado Indireto
Um exemplo de dado indireto que pode identificar uma pessoa é a combinação de várias informações não diretamente identificáveis, mas que, quando agrupadas, podem revelar a identidade de alguém. Aqui está um exemplo:
Suponha que um site de comércio eletrônico colete as seguintes informações sobre um cliente:
- Data de Nascimento: 10 de janeiro de 1985.
- Cidade de Residência: São Paulo.
- Profissão: Advogado.
- Time de Futebol Favorito: Corinthians.
- Modelo de Carro: Toyota Corolla.
- Clube de Vinhos Preferido: Vinhos do Sul.
Nenhuma dessas informações, por si só, é suficiente para identificar inequivocamente uma pessoa. No entanto, se alguém souber que um advogado chamado João, que nasceu em 10 de janeiro de 1985 e vive em São Paulo, é um grande fã do Corinthians, dirige um Toyota Corolla e é membro do clube de vinhos Vinhos do Sul, as chances de identificar essa pessoa específica são bastante altas.
Nesse exemplo, a combinação de várias informações aparentemente não identificáveis permite a identificação indireta do indivíduo. Portanto, é importante tratar esses tipos de dados com cuidado e seguir as regulamentações de privacidade, como a LGPD (Lei Geral de Proteção de Dados), para garantir a proteção adequada dos dados pessoais, mesmo quando eles não são diretamente identificáveis.
Fundamentos da LGPD
Partindo do objeto e objetivo, a lei traz uma série de fundamentos no artigo 2º,que sustentam a carga regulatória da lei. A disciplina da proteção de dados pessoais tem como fundamentos:
I- o respeito à privacidade;
II- a autodeterminação informativa;
III- a liberdade de expressão, informação, de comunicação e de opinião;
IV- a inviolabilidade da intimidade, da honra e da imagem,
V- o desenvolvimento econômico e tecnológico e a inovação;
VI- a livre iniciativa, a livre concorrência e a defesa do consumidor;
VII- os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.
Princípios da LGPD
A LGPD é uma lei fortemente baseada em princípios, ou seja, é uma lei principiológica, pois boa parte das questões envolvendo tratamento de dados pode ser resolvida usando única e exclusivamente os princípios.
Se algum desses princípios forem violados já no início do tratamento, dificilmente se conseguirá sustentar a operação de tratamento de dados pessoais. A LGPD apresenta no artigo A LGPD apresenta no artigo 6º dez princípios que regem as atividades de tratamento de dados pessoais.
São eles:
6º- As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:
- I – finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
- II – adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
- III – necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
- IV – livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
- V – qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
- VI – transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
- VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
- VIII – prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
- IX – não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
- X – responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
Bases Legais da LGPD
Após os dez (10) princípios, chegamos nas hipóteses de realização de tratamento de dados pessoais que são as Bases Legais, pois estabelecem as hipóteses que legitimam uma organização à tratar dados pessoais de acordo com a lei.
Artigo 7º – O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
- I – mediante o fornecimento de consentimento pelo titular;
- II – para o cumprimento de obrigação legal ou regulatória pelo controlador;
- III – pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;
- IV – para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
- V – quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
- VI – para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ;
- VII – para a proteção da vida ou da incolumidade física do titular ou de terceiro;
- VIII – para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
- IX – quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
- X – para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
Finalidades e propósitos da LGPD
A LGPD possui várias finalidades e propósitos importantes:
1- Proteção da Privacidade: A LGPD busca proteger a privacidade das pessoas, garantindo que seus dados pessoais sejam tratados com responsabilidade e respeito.
Transparência: A lei exige que as organizações informem de maneira clara e transparente como os dados pessoais são coletados, usados e compartilhados.
3-Controle dos Titulares dos Dados: A LGPD concede aos titulares dos dados (as pessoas a quem os dados se referem) diversos direitos, incluindo o direito de acessar seus dados, corrigi-los, excluí-los e se opor ao seu tratamento.
4- Responsabilidade das Organizações: As empresas e organizações que coletam e tratam dados pessoais são obrigadas a adotar medidas de segurança para proteger esses dados e a nomear um Encarregado de Proteção de Dados (DPO) para supervisionar o cumprimento da lei.
5- Notificação de Incidentes: Em caso de violação de dados que possa resultar em riscos para os titulares, as organizações são obrigadas a notificar as autoridades competentes e os titulares dos dados.
6- Transferência Internacional de Dados: A LGPD regula a transferência de dados pessoais para outros países, estabelecendo requisitos para garantir a proteção dos dados em jurisdições estrangeiras.
7- Penalidades: A lei prevê sanções em caso de descumprimento de suas disposições, incluindo multas substanciais que podem chegar a 2% do faturamento anual da organização, com um limite de R$ 50 milhões por infração.
A LGPD não pertence apenas a área do conhecimento Jurídico
A Lei Geral de Proteção de Dados (LGPD) não se limita apenas ao conhecimento jurídico, mas é uma legislação que abrange uma ampla gama de áreas e disciplinas de conhecimento.
A LGPD tem implicações significativas em diversas áreas, incluindo:
1-Direito: Como uma lei de proteção de dados, a LGPD tem uma base legal sólida e implicações legais importantes. Advogados e especialistas em direito desempenham um papel fundamental na interpretação e aplicação da LGPD.
2-Tecnologia da Informação: O cumprimento da LGPD muitas vezes requer medidas técnicas específicas para proteger os dados pessoais, como criptografia, segurança de rede e medidas de privacidade em aplicativos e sistemas.
3- Segurança da Informação: A LGPD exige que as organizações implementem medidas de segurança para proteger os dados pessoais. Especialistas em segurança da informação desempenham um papel crucial na garantia da conformidade.
4- Ética e Privacidade: A LGPD também tem implicações éticas, já que promove a proteção da privacidade e dos direitos das pessoas em relação aos seus dados pessoais. A ética desempenha um papel importante na aplicação da LGPD.
5- Tecnologia e Negócios Digitais: Empresas que coletam e tratam dados pessoais devem ajustar suas práticas de negócios para cumprir a LGPD, o que pode envolver mudanças nas estratégias de marketing e na forma como os dados são utilizados.
6- Recursos Humanos: Empregadores precisam cumprir a LGPD ao coletar e tratar informações de funcionários e candidatos a emprego. Isso inclui questões de RH relacionadas à privacidade.
7- Educação e Conscientização: Educar os funcionários e o público em geral sobre a importância da privacidade e da LGPD é essencial para o cumprimento da lei.
8- Governança Corporativa: As organizações precisam estabelecer políticas e procedimentos internos para garantir a conformidade com a LGPD, o que pode envolver a governança corporativa.
Portanto, a LGPD é uma legislação multifacetada que impacta várias áreas de conhecimento e práticas empresariais, sendo considerada uma lei de proteção de dados pessoais de alcance amplo Ela exige uma abordagem holística, envolvendo profissionais de diversas disciplinas para garantir a conformidade e a proteção adequada dos dados pessoais.