Conhecendo a LGPD

Em 14 de agosto de 2018, o Congresso Nacional promulgou a Lei 13.709, a qual tem como preocupação central o do tema da proteção de dados pessoais. Esta lei ficou popularmente conhecida pela sigla LGPD que se traduz em Lei Geral de Proteção de Dados Pessoais.

A partir de seus 65 artigos, divididos em 10 capítulos, a lei define alguns conceitos importantes sobre o tema, dizendo, pela primeira vez, o que vem a ser dado pessoal e definindo também como tais dados devem ser protegidos quando estiverem em poder de outrém.

Outro conceito importante, apresentado no texto da LGPD, é a definição de tratamento de dados que também vem acompanhada dos requisitos para que esse tratamento seja considerado legítimo e legal.

Em essência, ao proteger os dados pessoais, a LGPD cria meios de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, todos previstos na Constituição Federal de 1988.

• o respeito à privacidade;
• a autodeterminação informativa;
• a liberdade de expressão, de informação, de comunicação e de opinião;
• a inviolabilidade da intimidade, da honra e da imagem;
• o desenvolvimento econômico e tecnológico e a inovação;
• a livre iniciativa, a livre concorrência e a defesa do consumidor; e os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

Visão Geral

No capítulo I da LGPD vamos encontrar as disposições gerais que contém os princípios que fundamentam a proteção de dados pessoais (art. 2º), o âmbito da aplicação territorial da lei (art. 3º) e conceitos básicos (art. 5º).

Entre os conceitos apresentados pela LGPD, destaca-se o de dados pessoais, que são informações relacionadas à pessoa natural identificada ou identificável (art. 5º, I).

Neste sentido, são protegidas pela lei tanto a informação que identifica de forma direta a pessoa natural como também aquela que, através do cruzamento com outras, permite a identificação da pessoa proprietária.

A LGPD define ainda os "dados pessoais sensíveis", que se caracterizam por serem dados pessoais "sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural " (art. 5º, I).

"Titular dos dados", por sua vez, é pessoa natural a quem se referem os dados pessoais que são objeto de tratamento (art. 5º, V).

Já o tratamento é qualquer ação que se faça com os dados pessoais ou dados pessoais sensíveis. A LGPD aponta como tratamento "toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração" (art. 5º, X).

No capítulo II são apresentados os requisitos para o tratamento de dados pessoais, dados pessoais sensíveis, dados pessoais de criança e de adolescente, e as hipóteses de término do tratamento de dados.

Os direitos dos titulares são apresentados no capítulo III, com a descrição dos prazos e formas para o atendimento das requisições dos titulares.

O capítulo IV é dedicado ao tratamento de dados pessoais pelo Poder Público e a sua responsabilização em caso de infração à LGPD.

O capítulo V trata da transferência internacional de dados, e o capítulo VI se ocupa dos agentes de tratamento de dados pessoais, da responsabilidade dos agentes e do ressarcimento de danos.

Segundo a definição da LGPD, os agentes de tratamento de dados pessoais são três: o controlador, o operador e o encarregado pelo tratamento de dados pessoais.

Conforme os conceitos apresentados pela própria LGPD, o controlador é a "pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais" (art. 5º, VI), enquanto o operador é a "pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador" (art. 5º, VII).

O encarregado pelo tratamento de dados pessoais, por seu turno, é a "pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)".

O capítulo VII trata da segurança e das boas práticas a serem adotadas no tratamento de dados pessoais, enquanto o capítulo VIII trata da fiscalização da proteção de dados pessoais, com destaque para o rol de sanções administrativas que podem ser aplicadas pela ANPD.

Por fim, o capítulo X é dedicado às disposições finais e transitórias.