Como a LGPD vai afetar sua vida

Em resumo bem sintético, a legislação nacional vai exigir que as companhias mudem a forma como lidam com as informações de seus usuários.

"A LGPD estabelece três figuras principais durante o tratamento de dados: o titular, o controlar e o operador", explicou Vanessa Lerner, advogada especialista em direito digital da Dias Carneiro Advogados. "Em sua essência, a lei não é nada mais do que um conjunto de direitos e obrigações dessas três partes em diferentes momentos, que gera uma rede capaz de proteger a privacidade e a autodeterminação dos titulares de dados pessoas no Brasil."

Alguns dos pontos principais tratados pela lei para você entender melhor o que ela significa:

Definição de dados pessoais: O texto define como dado pessoal "qualquer informação relacionada à pessoa natural identificada ou identificável". Sobre dados sensíveis, no entanto, a lei é bem mais específica, e inclui na conta origem racial ou étnica, convicções religiosas, opiniões políticas, informações genéticas ou biométricas, entre outros pontos.

Consentimento dos usuários: A legislação também é precisa aqui. Consentimento é a "manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada". As empresas também precisam deixar clara a finalidade ("realização do tratamento para propósitos legítimos, específicos, explícitos e informados") do uso dos dados e limitar o uso das informações a esse fim.

Transparência: O consentimento citado acima deverá vir por meio daqueles já conhecidos termos de uso, é claro. Mas a lei obriga que as empresas sejam claras em seus textos e específicas na hora de definir a finalidade do uso. "O consentimento deverá referir-se a finalidades determinadas e serão nulas as autorizações genéricas para o tratamento de dados pessoais", diz a legislação.

Responsabilidade sobre os dados: O "titular" dos dados mencionado acima é a pessoa a que os dados se referem, como especifica a legislação. Já os responsáveis são, como explica Peck, "a pessoa física ou jurídica, de direito público ou privada que realizada decisões sobre o tratamento de dados" — basicamente, as empresas. Mas há uma divisão: o "responsável" propriamente dito decide como vai ser feito o tratamento, enquanto o "operador" realiza o tratamento dos dados. Ambos, no entanto, são responsáveis pela segurança das informações.

Segurança: O artigo 46 da lei é categórico (e um pouco longo):

"os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado".

É algo que muitas das marcas que lidam com dados já precisam fazer graças à implantação do GDPR europeu — caso do Google e do Facebook, por exemplo.

Alteração e exclusão: Além do cenário mencionado no tópico "Transparência" acima, a lei também destaca que os usuários têm todo o direito de alterar e excluir os dados que as empresas têm sobre eles. Quer dizer, exceto em casos, como destaca Peck, como quando as informações têm fins fiscais ou é usada por estudos de órgãos de pesquisa (desde que seja garantida a anonimização, claro). O tratamento de dados pessoas também será terminado caso a finalidade seja alcançada, o período de tratamento chegue ao fim, as informações deixem ser necessárias ou o órgão regulador solicite.

Sanções: Quatro artigos definem as punições às empresas que descumprirem as regras, que vão de um advertência a multas diárias de até 2% do faturamento da companhia (com limite de 50 milhões de reais no total por infração). 

E a Autoridade Nacional?

Após decreto que determinou a criação da ANPD, o governo declarou que o órgão será dotado de autonomia técnica e decisória para proteger os "direitos fundamentais de liberdade e privacidade e o livre desenvolvimento da personalidade da pessoa natural".

"A criação da ANPD é um importante passo tanto para dar a segurança jurídica necessária aos entes públicos e privados que realizam operações de tratamento de dados pessoais e que terão de se adequar à LGPD, como também para viabilizar transferências internacionais de dados que sigam parâmetros adequados de proteção à privacidade, o que pode abrir novos mercados para empresas brasileiras", divulgou, em nota, a Secretaria-Geral da Presidência da República.

De acordo com decreto publicado no DOU, estas são algumas das competências da ANPD:

• Zelar pela proteção dos dados pessoais, nos termos da legislação;

• Elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade;

• Fiscalizar e aplicar sanções ao descumprimento dos termos dispostos na LGPD;

• Promover, entre a população, o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais;

• Estimular, entre as empresas, a adoção de padrões para serviços e produtos que facilitem o controle pelos clientes sobre seus dados pessoais;

• Averiguar reclamações não solucionadas entre clientes e empresas, no que tange à violação de dados e privacidade;

• Promover e elaborar estudos sobre as práticas nacionais e internacionais de proteção de dados e privacidade.