A tão famosa e controversa Lei Geral de Proteção de Dados Pessoais, ou, para os íntimos, apenas LGPD, vem causando no nosso cenário nacional. Teve vereador de cidade grande, de “capitar” que confundiu com LGBTQ e a polêmica foi grande. Mas, brincadeiras à parte, a LGPD existe e veio para ficar.

Afinal o que é a Lei Geral de Proteção de Dados Pessoais? A Lei 13.709, de 14 de agosto de 2018, ou LGPD, traz em seu artigo primeiro, sua principal finalidade:

“Art. 1º - Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. Parágrafo único - As normas gerais contidas nesta Lei são de interesse nacional e devem ser observadas pela União, Estados, Distrito Federal e Municípios”.

Entenda-se por dados pessoais todos aqueles relacionados às pessoas naturais, tais como RG, CPF, etnia, religião, gênero, ou seja, qualquer dado que identifique ou possa levar à identificação de uma pessoa natural. Dados pessoais de indivíduos identificados são aquelas informações que imediatamente podem identificar uma pessoa, como o nome, número de CPF e RG e informações de documentos pessoais. Por outro lado, dados pessoais de indivíduos identificáveis são aquelas informações que não podem imediatamente identificar um indivíduo, mas que, ao serem alocadas juntamente com outras, podem passar a identificar e serem relacionadas a um indivíduo. Como se fosse a revelação da brincadeira de amigo secreto, na qual uma única informação a nada se presta, mas ao juntá-las com outras sabemos a quem se referem.

Um dos intuitos principais da lei é a proteção desses dados, e quando se fala em proteção não é somente contra hackers e sim, proteção e tratamento por pessoas naturais (físicas) e pelas empresas que captam esses dados. Por isso o consentimento do titular dos dados é extremamente importante e deve ser comprovado por aquele que o coletou. O consentimento tem que ser manifestado expressamente, não valendo o consentimento tácito ou as conhecidas cashboxs pré assinaladas. E há um detalhe que deve ser observado: esse consentimento pode ser revogado a qualquer momento, cabendo ao controlador demonstrar que esse consentimento ainda é válido.

Mas espera. O que é o controlador? Para facilitar a compreensão da lei, o legislador fez questão de trazer algumas definições, com destaque para os principais atores da lei. Estão definidas em seu artigo 5º: “Para os fins desta Lei, considera-se: I - dado pessoal: informação relacionada a pessoa natural identificada ou identificável; II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural; III - dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento; IV - banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico; V - titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento; VI - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais; VII - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador; VIII - encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD); (Redação dada pela Lei nº 13.853, de 2019) - Vigência - IX - agentes de tratamento: o controlador e o operador...”.

Ainda que a pessoa natural (física) ou jurídica não armazene os dados, a lei é clara em determinar que o tratamento deve ser feito desde a coleta. Tem que demonstrar a segurança na coleta e a segurança no “descarte” dos dados, o chamado término de tratamento e comprovar os processos utilizados que conferiram segurança para que esses dados não tenham sido vazados e/ou compartilhados sem o consentimento expresso do titular.

E a lei também é expressa em determinar que além das pessoas físicas, todas as empresas, independente do porte, pequena, média ou grande, deverão estar adaptadas. Há ainda os segmentos com demandas específicas de conformidade, que são as empresas que possuam os dados de crianças e adolescentes, além de empresas possuidoras de dados sensíveis, como hospitais, clínicas médicas, odontológicas, aplicativos de saúde. De igual forma, empresas do segmento de marketing e empresas com atividades reguladas como bancos, seguros, telecomunicações.

Qual o risco de não cumprir com a lei? No caso específico das empresas, além de ações judiciais individuais ou coletivas, as sanções por descumprimento da LGPD incluem advertência, obrigação de divulgação do incidente, bloqueio, suspensão e/ou proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados pessoais, eliminação de dados pessoais, multa de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50 milhões por infração (artigo 52 da LGPD).

Mas talvez o maior impacto que a lei trouxe é o custo reputacional. A perda de confiança na empresa pelo titular dos dados quando ocorre um incidente de vazamento. Um exemplo disso foi com a rede de hipermercados dos Estados Unidos, a Target, que passou por esse tipo de incidente e até hoje tenta recuperar a confiança de seus clientes.

A lei é de 2018, sendo que a sua entrada em vigor foi fracionada: alguns dispositivos entraram em vigor em 28 de dezembro de 2018, outros em 15 de agosto de 2020 e mais alguns somente em 1º.08.2021. O fato é que a lei existe e as empresas já deveriam estar adequadas, mas pesquisa recente revelou que em 2019 apenas 34,9% das empresas possuíam políticas e normativas relacionadas à LGPD, em 2020 este número saltou para 45,2%. Outro percentual que reflete o avanço no preparo das empresas neste ano é o mapeamento dos dados pessoais sensíveis, que pulou de 23,3% no ano passado para 35,5% neste ano. Provavelmente, quando entrar em vigor efetivo, esses números mudem e essa adaptação possa trazer mais segurança aos usuários, detentores dos direitos.

Marina Elaine Pereira é Advogada pós-graduada em Direito Constitucional e Direito Tributário. Especialista em Compliance. Membro da Comissão Estadual de Direito Médico e Saúde da OAB/SP. Foi ouvidora geral do Munícipio e Secretária de Saúde de Sorocaba/SP